Se usó la API de Cloud Translation para traducir esta página.

Soluciona problemas del Administrador de certificados

En esta página, se describen los errores más comunes que puedes encontrar cuando usas Certificate Manager. También proporciona pasos para diagnosticar y resolver esos errores.

Problemas relacionados con los certificados TLS (SSL)

Para obtener ayuda para resolver problemas relacionados con los certificados TLS (SSL), consulta Soluciona problemas de certificados SSL.

Errores relacionados con los certificados de Certificate Manager

En esta sección, se explica la información para solucionar problemas relacionados con el campo authorizationAttemptInfo de los certificados de Certificate Manager administrados por Google. Los errores se muestran en la sección managed.authorizationAttemptInfo.troubleshooting solo cuando los siguientes campos tienen estos valores:

managed.authorizationAttemptInfo.state = FAILED
managed.authorizationAttemptInfo.failureReason = CONFIG

Para obtener más información sobre los errores y cómo resolverlos, consulta la siguiente tabla:

Error	Descripción
`CNAME_MISMATCH`	Este error solo se produce para las autorizaciones de DNS cuando el valor del registro `CNAME` esperado no coincide con el valor del registro `CNAME` resuelto. Para corregir este problema, agrega el registro CNAME esperado correcto a tu configuración de DNS. Para obtener más información, consulta la sección Agrega el registro CNAME a tu configuración de DNS.
`RESOLVED_TO_NOT_SERVING`	Este error se produce cuando el dominio contiene registros DNS `A` y `AAAA` que apuntan a ciertas direcciones IP en las que el certificado no está adjunto a ningún balanceador de cargas. El error solo se aplica a los certificados con autorizaciones de balanceador de cargas. Solo puedes aprovisionar certificados con la autorización del balanceador de cargas después de configurar el balanceador de cargas. Para resolver este problema, actualiza los registros A y AAAA de DNS del dominio para que apunten a la dirección IP del balanceador de cargas. Las direcciones IP que se resuelven a partir de los registros `A` y `AAAA` del DNS del dominio se almacenan en el parámetro `ips.resolved`, y las direcciones IP del balanceador de cargas al que se adjunta este certificado se almacenan en el parámetro `ips.serving`. Los registros `A` y `AAAA` del DNS del dominio deben apuntar solo a la dirección IP del balanceador de cargas. Por ejemplo, si un registro `A` de DNS apunta a la dirección IP del balanceador de cargas, pero el registro `AAAA` de DNS apunta a una dirección IP diferente, se produce el error `RESOLVED_TO_NOT_SERVING`. También debes asegurarte de que los registros DNS `A` y `AAAA` del dominio se resuelvan de forma correcta y coherente en todo el mundo. Para obtener más información, consulta la sección Errores de validación de dominio desde múltiples perspectivas.
`NO_RESOLVED_IPS`	Este error se produce cuando el dominio no contiene ningún registro DNS `A` ni `AAAA`. El error solo se aplica a los certificados con autorizaciones de balanceador de cargas. Solo puedes aprovisionar certificados con la autorización del balanceador de cargas después de configurar el balanceador de cargas. Para resolver este problema, agrega registros DNS `A` y `AAAA` para este dominio y asegúrate de que los registros apunten a la dirección IP del proxy HTTPS de destino o del servicio de caché perimetral de CDN de medios. También debes asegurarte de que los registros DNS `A` y `AAAA` del dominio se resuelvan de forma correcta y coherente en todo el mundo. Para obtener más información, consulta la sección Errores de validación de dominio desde múltiples perspectivas.
`RESOLVED_TO_SERVING_ON_ALT_PORTS`	Este error se produce cuando el dominio que contiene los registros DNS `A` y `AAAA` apunta a las direcciones IP de un balanceador de cargas al que se adjunta este certificado, pero el puerto `443` no está abierto en esas direcciones IP. El error solo se aplica a los certificados con autorizaciones de balanceador de cargas. Puedes aprovisionar certificados con la autorización del balanceador de cargas solo después de configurar el balanceador de cargas. Para resolver este problema, asegúrate de que el balanceador de cargas con el certificado adjunto esté escuchando en el puerto `443`. El parámetro `ips.serving_on_alt_ports` almacena la lista de direcciones IP del balanceador de cargas para las que el puerto `443` no está abierto. También debes asegurarte de que los registros DNS `A` y `AAAA` del dominio se resuelvan de forma correcta y coherente en todo el mundo. Para obtener más información, consulta la sección Errores de validación de dominio desde múltiples perspectivas.
`CERTIFICATE_NOT_ATTACHED`	Este error se produce cuando el certificado no está asociado a un balanceador de cargas. Para resolver este problema, asegúrate de que el certificado esté asociado a un balanceador de cargas. Para obtener más información, consulta la sección Implementa el certificado en un balanceador de cargas. Este error también se produce cuando un certificado forma parte de un mapa de certificados que está adjunto a un proxy HTTPS de destino, pero el proxy no está adjunto a una regla de reenvío. Para resolver este problema, adjunta el proxy HTTPS de destino a la regla de reenvío adecuada. Para obtener más información, consulta la Descripción general de los proxies de destino y la Descripción general de las reglas de reenvío. El error solo se aplica a los certificados con autorizaciones de balanceador de cargas. Puedes aprovisionar certificados con la autorización del balanceador de cargas solo después de configurar el balanceador de cargas.

Se produjo un error al separar un mapa de certificados de un proxy de destino

Cuando desconectas un mapa de certificados de un proxy de destino, recibes el siguiente error:

"There must be at least one certificate configured for a target proxy."

Este error se produce cuando no hay certificados asignados al proxy de destino, además de los que se especifican en el mapa de certificados que intentas separar. Para separar el mapa, primero asigna uno o más certificados directamente al proxy.

Error al asociar una entrada del mapa de certificados con un certificado

Cuando asocias una entrada de mapa de certificados con un certificado, recibes el siguiente error:

"certificate can't be used more than 100 times"

Este error se produce cuando intentas asociar una entrada de mapa de certificados con un certificado que ya está asociado con 100 entradas de mapa de certificados. Para solucionar el problema, haz lo siguiente:

En el caso de los certificados administrados por Google, crea otro certificado. Asocia las nuevas entradas del mapa de certificados con este certificado nuevo y adjunta el certificado nuevo al balanceador de cargas.
En el caso de los certificados autoadministrados, vuelve a subir el certificado con un nombre nuevo. Asocia las nuevas entradas del mapa de certificados con este certificado nuevo y adjunta el certificado nuevo al balanceador de cargas.

Problemas relacionados con los certificados emitidos por una instancia del servicio de CA

En esta sección, se enumeran los errores más comunes que puedes encontrar cuando usas Certificate Manager para implementar certificados administrados por Google emitidos por tu instancia de CA Service y sus posibles causas.

Si recibes el error Failed to create Certificate Issuance Config resources, verifica lo siguiente:

El período Los valores válidos de la vida útil del certificado son de 21 a 30 días.
El porcentaje de la ventana de rotación. Los porcentajes de ventana de rotación válidos son del 1 al 99 por ciento. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se realice al menos 7 días después de que se haya emitido y al menos 7 días antes de que venza.
El algoritmo de la clave. Los valores válidos del algoritmo de clave son RSA_2048 y ECDSA_P256.
El grupo de CA. El grupo de CA no existe o está mal configurado. El grupo de CA debe contener al menos una CA habilitada, y el llamador debe tener el permiso privateca.capools.use en el proyectoGoogle Cloud de destino. En el caso de los certificados regionales, el recurso de configuración de emisión de certificados debe crearse en la misma ubicación que el grupo de CA.

Si recibes un error Failed to create a managed certificate, verifica lo siguiente:

Existe el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado.
El llamador tiene el permiso certificatemanager.certissuanceconfigs.use en el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado.
El certificado se encuentra en la misma ubicación que el recurso de configuración de emisión de certificados.

Si recibes un error Failed to renew certificate o Failed to provision certificate, verifica lo siguiente:

La cuenta de servicio de Certificate Manager tiene el permiso roles/privateca.certificateRequester en el grupo de CA especificado en el recurso de configuración de emisión de certificados que se usa para este certificado.

Usa el siguiente comando para verificar los permisos en el grupo de CA de destino:
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Reemplaza lo siguiente:
- CA_POOL: Es la ruta de acceso y el nombre completos del recurso del grupo de AC de destino.
- REGION: la región Google Cloud de destino
Está vigente una política de emisión de certificados. Para obtener más información, consulta Problemas relacionados con las restricciones de la política de emisión.

Problemas relacionados con las restricciones de la política de emisión

Si Certificate Manager no admite los cambios en un certificado realizados por la política de emisión de certificados, falla el aprovisionamiento del certificado y el estado del certificado administrado cambia a Failed. Para resolver el problema, confirma lo siguiente:

Las restricciones de identidad del certificado permiten el paso del sujeto y del nombre alternativo del sujeto (SAN).
La restricción de duración máxima del certificado es mayor que la duración del recurso de configuración de emisión del certificado.

En el caso de los problemas anteriores, como el servicio de CA ya emitió el certificado, se te facturará según los precios del servicio de CA.

Si recibes el error Rejected for issuing certificates from the configured CA Pool, significa que la política de emisión de certificados bloqueó el certificado solicitado. Para resolver el error, verifica lo siguiente:

El modo de emisión del certificado permite solicitudes de firma de certificado (CSR).
Los tipos de claves permitidos son compatibles con el algoritmo de clave del recurso de configuración de emisión de certificados que se usa.

En el caso de los problemas anteriores, como el servicio de CA no emitió el certificado, no se te facturará por el servicio de CA.

Problemas relacionados con la coincidencia del nombre de host de la IAP

Si inesperadamente recibes el error The host name provided does not match the SSL certificate on the server cuando usas Certificate Manager con Identity-Aware Proxy (IAP), verifica que estés usando un certificado válido para ese nombre de host. También puedes listar las entradas del mapa de certificados que configuraste en tu mapa de certificados. Cada nombre de host o nombre de host comodín que planees usar con IAP debe tener una entrada dedicada. Si falta la entrada del mapa de certificados para tu nombre de host, crea una entrada del mapa de certificados.

El IAP siempre rechaza las solicitudes que recurren a la entrada del mapa de certificados principal durante la selección de certificados.

Fallos en la validación de dominios desde múltiples perspectivas

Google Cloud renueva periódicamente tus certificados administrados por Google solicitándolos a las autoridades certificadoras (CA). Las CA con las que trabajaGoogle Cloud para renovar tus certificados usan un método de validación de dominio desde múltiples perspectivas conocido como Corroboración de emisiones desde múltiples perspectivas (MPIC). Como parte de este proceso, las autoridades de certificación verifican el control del dominio comprobando la configuración de DNS del dominio y, en el caso de la autorización del balanceador de cargas, intentando comunicarse con el servidor detrás de la dirección IP del dominio. Estas verificaciones se realizan desde varios puntos de observación en Internet. Si el proceso de validación falla, los certificados administrados por Google no se renuevan. Como resultado, tu balanceador de cargas entrega un certificado vencido a los clientes, lo que provoca que los usuarios del navegador encuentren errores de certificado y que los clientes de la API experimenten fallas de conexión.

Para evitar errores en la validación de dominios desde múltiples perspectivas debido a registros DNS mal configurados, ten en cuenta lo siguiente:

Tus registros A de DNS (IPv4) y AAAA de DNS (IPv6) para tus dominios y cualquier subdominio apuntan solo a la dirección IP (o direcciones) asociada con la regla (o reglas) de reenvío del balanceador de cargas. La existencia de cualquier otra dirección en el registro puede provocar que falle la validación.
La CA, que realiza la validación de los registros DNS, consulta los registros DNS desde varias ubicaciones. Asegúrate de que tu proveedor de DNS responda de manera coherente a todas las solicitudes de validación de dominio globales.
El uso de GeoDNS (que devuelve diferentes direcciones IP según la ubicación de la solicitud) o de políticas de DNS basadas en la ubicación puede generar respuestas incoherentes y provocar que falle la validación. Si tu proveedor de DNS usa GeoDNS, inhabilítalo o asegúrate de que todas las regiones devuelvan la misma dirección IP del balanceador de cargas.
Si usas el método de autorización del balanceador de cargas para aprovisionar certificados administrados por Google, debes especificar de forma explícita las direcciones IP de tu balanceador de cargas en la configuración de DNS. Las capas intermedias, como una CDN, pueden provocar un comportamiento impredecible. Se debe poder acceder directamente a la dirección IP sin redireccionamientos, firewalls ni CDN en la ruta de la solicitud. Para obtener más información, consulta la sección Balanceadores de cargas detrás de una CDN en este documento.
Te recomendamos que uses un verificador de propagación global de DNS de tu elección para verificar que todos los registros DNS pertinentes se resuelvan de forma correcta y coherente en todo el mundo.

Verifica los cambios de configuración

Después de configurar tus registros DNS, puedes verificar que sean correctos creando un certificado nuevo y conectándolo a tu balanceador de cargas junto con el certificado existente. Este paso fuerza una verificación inmediata del aprovisionamiento de certificados con la CA, lo que te permite verificar los cambios de configuración en cuestión de minutos. Sin esto, las renovaciones automáticas del certificado existente pueden tardar días o semanas, lo que genera incertidumbre sobre tu configuración.

Si el estado del certificado cambia a ACTIVE, significa que se emitió el certificado, lo que confirma que tu configuración de DNS es correcta. En este punto, te recomendamos que quites el certificado anterior para evitar tener dos certificados separados para el mismo dominio. Este proceso no interrumpe el tráfico hacia tu balanceador de cargas.

El nuevo certificado sirve como herramienta de validación: su creación confirma que la validación de dominio con varias perspectivas a través de MPIC funciona correctamente en tu configuración.

Balanceadores de cargas detrás de una CDN

En el caso de los balanceadores de cargas que tienen habilitada la CDN, es posible que algunos proveedores de CDN de terceros en la ruta de la solicitud impidan que las solicitudes de validación se realicen con éxito. Esto puede ocurrir si el proveedor de CDN programa el tráfico HTTP(S) de forma activa con proxy.

En esos casos, te recomendamos que uses el método de autorización de DNS para aprovisionar certificados administrados por Google. Este último enfoque no requiere que la CA se comunique con tu balanceador de cargas.