Soluciona problemas del Administrador de certificados

En esta página, se describen los errores más comunes que puedes encontrar cuando usas el Administrador de certificados. También se proporcionan pasos para diagnosticar y resolver esos errores.

Para obtener ayuda para resolver problemas relacionados con los certificados TLS (SSL), consulta Soluciona problemas con los certificados SSL.

Errores relacionados con los certificados del Administrador de certificados

En esta sección, se proporciona información para solucionar problemas relacionados con el campo authorizationAttemptInfo de los certificados del Administrador de certificados administrados por Google. Los errores se muestran en la sección managed.authorizationAttemptInfo.troubleshooting solo cuando los siguientes campos tienen estos valores:

  • managed.authorizationAttemptInfo.state = FAILED
  • managed.authorizationAttemptInfo.failureReason = CONFIG

Para obtener más información sobre los errores y cómo resolverlos, consulta la siguiente tabla:

Error Descripción
CNAME_MISMATCH Este error solo se produce para las autorizaciones de DNS cuando el valor del registro CNAME esperado no coincide con el valor del registro CNAME resuelto.

Para corregir este problema, agrega el registro CNAME esperado a tu configuración de DNS. Para obtener más información, consulta la sección Agrega el registro CNAME a tu configuración de DNS.
RESOLVED_TO_NOT_SERVING Este error se produce cuando el dominio contiene registros A y AAAA de DNS que apuntan a ciertas direcciones IP en las que el certificado no está adjunto a ningún balanceador de cargas.

El error solo se aplica a los certificados con autorizaciones de balanceador de cargas. Puedes aprovisionar certificados con la autorización del balanceador de cargas solo después de configurar el balanceador de cargas.

Para resolver este problema, actualiza los registros A y AAAA de DNS del dominio para que apunten a la dirección IP del balanceador de cargas. Las direcciones IP que se resuelven de los registros A y AAAA de DNS del dominio se almacenan en el parámetro ips.resolved, y las direcciones IP del balanceador de cargas en las que se adjunta este certificado se almacenan en el parámetro ips.serving.

Los registros A y AAAA de DNS del dominio deben apuntar solo a la dirección IP del balanceador de cargas. Por ejemplo, si un registro DNS A apunta a la dirección IP del balanceador de cargas, pero el registro DNS AAAA apunta a una dirección IP diferente, se produce el error RESOLVED_TO_NOT_SERVING.

También debes asegurarte de que los registros de DNS A y AAAA del dominio se resuelvan de forma correcta y coherente en todo el mundo. Para obtener más información, consulta la sección Fallas de validación de dominio de varias perspectivas.
NO_RESOLVED_IPS Este error se produce cuando el dominio no contiene ningún registro A ni AAAA de DNS.

El error solo se aplica a los certificados con autorizaciones de balanceador de cargas. Puedes aprovisionar certificados con la autorización del balanceador de cargas solo después de configurar el balanceador de cargas.

Para resolver este problema, agrega registros de DNS A y AAAA para este dominio y asegúrate de que los registros apunten a la dirección IP del proxy HTTPS de destino o al servicio de caché perimetral de Media CDN.

También debes asegurarte de que los registros de DNS A y AAAA del dominio se resuelvan de forma correcta y coherente en todo el mundo. Para obtener más información, consulta la sección Fallas de validación de dominio de varias perspectivas.
RESOLVED_TO_SERVING_ON_ALT_PORTS Este error se produce cuando el dominio que contiene registros DNS A y AAAA apunta a las direcciones IP de un balanceador de cargas en las que se adjunta este certificado, pero el puerto 443 no está abierto en esas direcciones IP.

El error solo se aplica a los certificados con autorizaciones de balanceador de cargas. Puedes aprovisionar certificados con la autorización del balanceador de cargas solo después de configurar el balanceador de cargas.

Para resolver este problema, asegúrate de que el balanceador de cargas con el certificado adjunto esté escuchando en el puerto 443. El parámetro ips.serving_on_alt_ports almacena la lista de direcciones IP del balanceador de cargas para las que el puerto 443 no está abierto.

También debes asegurarte de que los registros de DNS A y AAAA del dominio se resuelvan de forma correcta y coherente en todo el mundo. Para obtener más información, consulta la sección Fallas de validación de dominio de varias perspectivas.
CERTIFICATE_NOT_ATTACHED Este error se produce cuando el certificado no está adjunto a un balanceador de cargas. Para resolver este problema, asegúrate de que el certificado esté adjunto a un balanceador de cargas. Para obtener más información, consulta la sección Implementa el certificado en un balanceador de cargas.

Este error también se produce cuando un certificado forma parte de un mapa de certificados adjunto a un proxy HTTPS de destino, pero el proxy no está adjunto a una regla de reenvío. Para resolver este problema, adjunta el proxy HTTPS de destino a la regla de reenvío adecuada. Para obtener más información, consulta Descripción general de los proxies de destino y Descripción general de las reglas de reenvío.

El error solo se aplica a los certificados con autorizaciones de balanceador de cargas. Puedes aprovisionar certificados con la autorización del balanceador de cargas solo después de configurar el balanceador de cargas.

Error al separar un mapa de certificados de un proxy de destino

Cuando separas un mapa de certificados de un proxy de destino, recibes el siguiente error:

"There must be at least one certificate configured for a target proxy."

Este error se produce cuando no hay certificados asignados al proxy de destino, además de los especificados en el mapa de certificados que intentas separar. Para separar el mapa, primero asigna uno o más certificados directamente al proxy.

Error al asociar una entrada de mapa de certificados con un certificado

Cuando asocias una entrada de mapa de certificados con un certificado, recibes el siguiente error:

"certificate can't be used more than 100 times"

Este error se produce cuando intentas asociar una entrada de mapa de certificados con un certificado que ya está asociado con 100 entradas de mapa de certificados. Para solucionar el problema, haz lo siguiente:

  • En el caso de los certificados administrados por Google, crea otro certificado. Asocia las nuevas entradas de mapa de certificados con este certificado nuevo y adjunta el certificado nuevo al balanceador de cargas.
  • En el caso de los certificados autoadministrados, vuelve a subir el certificado con un nombre nuevo. Asocia las nuevas entradas de mapa de certificados con este certificado nuevo y adjunta el certificado nuevo al balanceador de cargas.

Problemas relacionados con los certificados emitidos por una instancia de Certificate Authority Service

En esta sección, se enumeran los errores más comunes que puedes encontrar cuando usas el Administrador de certificados para implementar certificados administrados por Google emitidos por tu instancia de Certificate Authority Service y sus posibles causas.

Si recibes el error Failed to create Certificate Issuance Config resources, verifica lo siguiente:

  • La vida útil. Los valores válidos de vida útil del certificado son de 21 a 30 días.
  • El porcentaje de ventana de rotación. Los porcentajes de ventana de rotación válidos son del 1 al 99 por ciento. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se realice al menos 7 días después de que se haya emitido y al menos 7 días antes de que venza.
  • El algoritmo clave. Los valores válidos del algoritmo clave son RSA_2048 y ECDSA_P256.
  • El grupo de AC. El grupo de AC no existe o no está bien configurado. El grupo de AC debe contener al menos una AC habilitada, y el emisor debe tener el permiso privateca.capools.use en el proyecto de destino Google Cloud . En el caso de los certificados regionales, el recurso de configuración de emisión de certificados debe crearse en la misma ubicación que el grupo de AC.

Si recibes un error Failed to create a managed certificate, verifica lo siguiente:

  • Existe el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado.
  • El emisor tiene el permiso certificatemanager.certissuanceconfigs.use en el recurso de configuración de emisión de certificados que especificaste cuando creaste el certificado.
  • El certificado está en la misma ubicación que el recurso de configuración de emisión de certificados.

Si recibes un error Failed to renew certificate o Failed to provision certificate, verifica lo siguiente:

  • La cuenta de servicio del Administrador de certificados tiene el permiso roles/privateca.certificateRequester en el grupo de AC especificado en el recurso de configuración de emisión de certificados que se usa para este certificado.

    Usa el siguiente comando para verificar los permisos en el grupo de AC de destino:

    gcloud privateca pools get-iam-policy CA_POOL
--location REGION

    Reemplaza lo siguiente:

    • CA_POOL: Es la ruta de acceso completa al recurso y el nombre del grupo de AC de destino.
    • REGION: Es la región de destino Google Cloud .

  • Una política de emisión está en vigencia. Para obtener más información, consulta Problemas relacionados con las restricciones de la política de emisión.

Problemas relacionados con las restricciones de la política de emisión

Si el Administrador de certificados no admite los cambios en un certificado que realiza la política de emisión de certificados, falla el aprovisionamiento de certificados y el estado del certificado administrado cambia a Failed. Para resolver el problema, confirma lo siguiente:

  • Las restricciones de identidad del certificado permiten el paso directo del asunto y el nombre alternativo del sujeto (SAN) .
  • La restricción de vida útil máxima del certificado es mayor que la vida útil del recurso de configuración de emisión de certificados.

En el caso de los problemas anteriores, debido a que Certificate Authority Service ya emitió el certificado, se te factura según los precios de Certificate Authority Service.

Si recibes el error Rejected for issuing certificates from the configured CA Pool, indica que la política de emisión de certificados bloqueó el certificado solicitado. Para resolver el error, verifica lo siguiente:

  • El modo de emisión del certificado permite solicitudes de firma de certificados (CSR).
  • Los tipos de clave permitidos son compatibles con el algoritmo clave del recurso de configuración de emisión de certificados que se usa.

En el caso de los problemas anteriores, debido a que Certificate Authority Service no emitió el certificado, Certificate Authority Service no te factura.

Problemas relacionados con la coincidencia de nombres de host de IAP

Si inesperadamente recibes el error The host name provided does not match the SSL certificate on the server cuando usas el Administrador de certificados con Identity-Aware Proxy (IAP), verifica que estés usando un certificado válido para ese nombre de host. También enumera las entradas de mapa de certificados que configuraste en tu mapa de certificados. Cada nombre de host o nombre de host con comodín que deseas usar con IAP debe tener una entrada dedicada. Si falta la entrada de mapa de certificados para tu nombre de host, crea una entrada de mapa de certificados.

IAP siempre rechaza las solicitudes que recurren a la entrada de mapa de certificados principal durante la selección de certificados

Fallas de validación de dominio de varias perspectivas

Google Cloud renueva periódicamente tus certificados administrados por Google solicitándolos a las autoridades certificadoras (AC). Las AC que Google Cloud funcionan con para renovar tus certificados usan un método de validación de dominio de varias perspectivas conocido como corroboración de emisión de varias perspectivas (MPIC). Como parte de este proceso, las autoridades certificadoras verifican el control del dominio mediante la comprobación de la configuración de DNS del dominio y, en el caso de la autorización del balanceador de cargas, mediante el intento de ponerse en contacto con el servidor detrás de la dirección IP del dominio. Estas verificaciones se realizan desde varios puntos de vista en Internet. Si falla el proceso de validación, no se renovarán los certificados administrados por Google. Como resultado, el balanceador de cargas entrega un certificado vencido a los clientes, lo que hace que los usuarios del navegador encuentren errores de certificado y que los clientes de la API experimenten fallas de conexión.

Para evitar fallas de validación de dominio de varias perspectivas para registros DNS mal configurados, ten en cuenta lo siguiente:

  • Tus registros A de DNS (IPv4) y AAAA de DNS (IPv6) para tus dominios y cualquier subdominio apuntan solo a la dirección IP (o direcciones) asociada con la regla (o reglas) de reenvío del balanceador de cargas. La existencia de cualquier otra dirección en el registro puede provocar que falle la validación
  • La AC, que realiza la validación de los registros DNS, consulta los registros DNS desde varias ubicaciones. Asegúrate de que tu proveedor de DNS responda de manera coherente a todas las solicitudes de validación de dominio global.
  • El uso de GeoDNS (que muestra diferentes direcciones IP según la ubicación de la solicitud ) o las políticas de DNS basadas en la ubicación pueden generar respuestas incoherentes y provocar que falle la validación. Si tu proveedor de DNS usa GeoDNS, inhabilítalo, o asegúrate de que todas las regiones muestren la misma dirección IP del balanceador de cargas.
  • Si usas el método de autorización del balanceador de cargas para aprovisionar certificados administrados por Google, debes especificar de forma explícita las direcciones IP de tu balanceador de cargas en tu configuración de DNS. Las capas intermedias, como una CDN, pueden provocar un comportamiento impredecible. Se debe poder acceder directamente a la dirección IP sin redireccionamientos, firewalls ni CDN en la ruta de acceso de la solicitud. Para obtener más información, consulta la sección Balanceadores de cargas detrás de una CDN en este documento.
  • Te recomendamos que uses un verificador de propagación global de DNS de tu elección para verificar que todos los registros DNS pertinentes se resuelvan de forma correcta y coherente en todo el mundo.

Verifica los cambios de configuración

Después de configurar tus registros DNS, puedes verificar que sean correctos creando un certificado nuevo y conectándolo a tu balanceador de cargas junto con el certificado existente. Este paso fuerza una verificación inmediata del aprovisionamiento de certificados con la AC, lo que te permite verificar los cambios de configuración en cuestión de minutos. Sin esto, las renovaciones automáticas del certificado existente pueden tardar días o semanas, lo que genera incertidumbre sobre tu configuración.

Si el estado del certificado se convierte en ACTIVE, indica que se emitió el certificado, lo que confirma que tu configuración de DNS es correcta. En este punto, te recomendamos que quites el certificado anterior para evitar tener dos certificados separados para el mismo dominio. Este proceso no interrumpe el tráfico a tu balanceador de cargas.

El certificado nuevo sirve como una herramienta de validación: su creación confirma que la validación de dominio de varias perspectivas con MPIC funciona correctamente para tu configuración.

Balanceadores de cargas detrás de una CDN

En el caso de los balanceadores de cargas que tienen CDN habilitado, es posible que algunos proveedores de CDN de terceros en la ruta de acceso de la solicitud impidan que las solicitudes de validación se realicen con correctamente. Esto puede ocurrir si el proveedor de CDN programa el tráfico HTTP(S) de forma activa con proxy.

En esos casos, te recomendamos que uses el método de autorización de DNS para aprovisionar certificados administrados por Google. Este último enfoque no requiere que la AC se comunique con tu balanceador de cargas.

¿Qué sigue?