Cette page a été traduite par l'API Cloud Translation.

Résoudre les problèmes liés au Gestionnaire de certificats

Cette page décrit les erreurs les plus courantes que vous pouvez rencontrer lorsque vous utilisez Certificate Manager. Il fournit également des étapes pour diagnostiquer et résoudre ces erreurs.

Problèmes liés aux certificats TLS (SSL)

Pour obtenir de l'aide sur la résolution des problèmes liés aux certificats TLS (SSL), consultez Résoudre les problèmes liés aux certificats SSL.

Erreurs liées aux certificats Certificate Manager

Cette section explique comment résoudre les erreurs liées au champ authorizationAttemptInfo des certificats Certificate Manager gérés par Google. Les erreurs s'affichent dans la section managed.authorizationAttemptInfo.troubleshooting uniquement lorsque les champs suivants ont ces valeurs :

managed.authorizationAttemptInfo.state = FAILED
managed.authorizationAttemptInfo.failureReason = CONFIG

Pour en savoir plus sur les erreurs et sur la façon de les résoudre, consultez le tableau suivant :

Erreur	Description
`CNAME_MISMATCH`	Cette erreur ne se produit que pour les autorisations DNS lorsque la valeur de l'enregistrement `CNAME` attendu ne correspond pas à la valeur de l'enregistrement `CNAME` résolu. Pour résoudre ce problème, ajoutez l'enregistrement CNAME attendu à votre configuration DNS. Pour en savoir plus, consultez la section Ajouter l'enregistrement CNAME à votre configuration DNS.
`RESOLVED_TO_NOT_SERVING`	Cette erreur se produit lorsque le domaine contient des enregistrements DNS `A` et `AAAA` qui pointent vers certaines adresses IP où le certificat n'est associé à aucun équilibreur de charge. Cette erreur ne s'applique qu'aux certificats avec autorisations d'équilibreur de charge. Vous ne pouvez provisionner des certificats à l'aide de l'autorisation de l'équilibreur de charge qu'après avoir configuré l'équilibreur de charge. Pour résoudre ce problème, mettez à jour les enregistrements DNS A et AAAA du domaine pour qu'ils pointent vers l'adresse IP de l'équilibreur de charge. Les adresses IP résolues à partir des enregistrements `A` et `AAAA` DNS du domaine sont stockées dans le paramètre `ips.resolved`, et les adresses IP de l'équilibreur de charge auxquelles ce certificat est associé sont stockées dans le paramètre `ips.serving`. Les enregistrements DNS `A` et `AAAA` du domaine doivent pointer uniquement vers l'adresse IP de l'équilibreur de charge. Par exemple, si un enregistrement DNS `A` pointe vers l'adresse IP de l'équilibreur de charge, mais que l'enregistrement DNS `AAAA` pointe vers une autre adresse IP, l'erreur `RESOLVED_TO_NOT_SERVING` se produit. Vous devez également vous assurer que les enregistrements `A` et `AAAA` du domaine sont résolus correctement et de manière cohérente dans le monde entier. Pour en savoir plus, consultez la section Échecs de validation de domaine multiperspective.
`NO_RESOLVED_IPS`	Cette erreur se produit lorsque le domaine ne contient aucun enregistrement DNS `A` ni `AAAA`. Cette erreur ne s'applique qu'aux certificats avec autorisations d'équilibreur de charge. Vous ne pouvez provisionner des certificats à l'aide de l'autorisation de l'équilibreur de charge qu'après avoir configuré l'équilibreur de charge. Pour résoudre ce problème, ajoutez les enregistrements DNS `A` et `AAAA` pour ce domaine, et assurez-vous qu'ils pointent vers l'adresse IP du proxy HTTPS cible ou du service de cache périphérique Media CDN. Vous devez également vous assurer que les enregistrements `A` et `AAAA` du domaine sont résolus correctement et de manière cohérente dans le monde entier. Pour en savoir plus, consultez la section Échecs de validation de domaine multiperspective.
`RESOLVED_TO_SERVING_ON_ALT_PORTS`	Cette erreur se produit lorsque le domaine contenant les enregistrements DNS `A` et `AAAA` pointe vers les adresses IP d'un équilibreur de charge auquel ce certificat est associé, mais que le port `443` n'est pas ouvert sur ces adresses IP. Cette erreur ne s'applique qu'aux certificats avec autorisations d'équilibreur de charge. Vous ne pouvez provisionner des certificats à l'aide de l'autorisation de l'équilibreur de charge qu'après avoir configuré l'équilibreur de charge. Pour résoudre ce problème, assurez-vous que l'équilibreur de charge avec le certificat associé écoute sur le port `443`. Le paramètre `ips.serving_on_alt_ports` stocke la liste des adresses IP d'équilibreur de charge pour lesquelles le port `443` n'est pas ouvert. Vous devez également vous assurer que les enregistrements `A` et `AAAA` du domaine sont résolus correctement et de manière cohérente dans le monde entier. Pour en savoir plus, consultez la section Échecs de validation de domaine multiperspective.
`CERTIFICATE_NOT_ATTACHED`	Cette erreur se produit lorsque le certificat n'est pas associé à un équilibreur de charge. Pour résoudre ce problème, assurez-vous que le certificat est associé à un équilibreur de charge. Pour en savoir plus, consultez la section Déployer le certificat sur un équilibreur de charge. Cette erreur se produit également lorsqu'un certificat fait partie d'une carte de certificats associée à un proxy HTTPS cible, mais que le proxy n'est pas associé à une règle de transfert. Pour résoudre ce problème, associez le proxy HTTPS cible à la règle de transfert appropriée. Pour en savoir plus, consultez les Présentation des proxys cibles et Présentation des règles de transfert. Cette erreur ne s'applique qu'aux certificats avec autorisations d'équilibreur de charge. Vous ne pouvez provisionner des certificats à l'aide de l'autorisation de l'équilibreur de charge qu'après avoir configuré l'équilibreur de charge.

Erreur lors du détachement d'une carte de certificats d'un proxy cible

Lorsque vous dissociez une carte de certificats d'un proxy cible, l'erreur suivante s'affiche :

"There must be at least one certificate configured for a target proxy."

Cette erreur se produit lorsqu'aucun certificat n'est attribué au proxy cible, à l'exception de ceux spécifiés dans la carte de certificats que vous essayez de dissocier. Pour dissocier le mappage, commencez par attribuer un ou plusieurs certificats directement au proxy.

Erreur lors de l'association d'une entrée de mappage de certificat à un certificat

Lorsque vous associez une entrée de mappage de certificat à un certificat, l'erreur suivante s'affiche :

"certificate can't be used more than 100 times"

Cette erreur se produit lorsque vous essayez d'associer une entrée de mappage de certificat à un certificat déjà associé à 100 entrées de mappage de certificat. Pour identifier le problème, procédez comme suit :

Pour les certificats gérés par Google, créez-en un autre. Associez les nouvelles entrées de mappage de certificats à ce nouveau certificat, puis associez le nouveau certificat à l'équilibreur de charge.
Pour les certificats autogérés, importez à nouveau le certificat avec un nouveau nom. Associez les nouvelles entrées de mappage de certificats à ce nouveau certificat, puis associez le nouveau certificat à l'équilibreur de charge.

Problèmes liés aux certificats émis par une instance CA Service

Cette section répertorie les erreurs les plus courantes que vous pouvez rencontrer lorsque vous utilisez le gestionnaire de certificats pour déployer des certificats gérés par Google émis par votre instance CA Service, ainsi que leurs causes possibles.

Si vous recevez l'erreur Failed to create Certificate Issuance Config resources, vérifiez les points suivants :

Durée de vie : Les valeurs valides pour la durée de vie du certificat sont comprises entre 21 et 30 jours.
Pourcentage de la période de rotation. Les pourcentages de période de rotation valides sont compris entre 1 % et 99 %. Vous devez définir le pourcentage de la période de rotation en fonction de la durée de validité du certificat afin que le renouvellement du certificat ait lieu au moins sept jours après l'émission du certificat et au moins sept jours avant son expiration.
Algorithme de la clé. Les valeurs valides pour l'algorithme de clé sont RSA_2048 et ECDSA_P256.
Le pool d'autorités de certification Le pool d'autorités de certification n'existe pas ou est mal configuré. Le pool d'autorités de certification doit contenir au moins une autorité de certification activée, et l'appelant doit disposer de l'autorisation privateca.capools.use sur leGoogle Cloud projet cible. Pour les certificats régionaux, la ressource de configuration d'émission de certificat doit être créée au même emplacement que le pool d'autorités de certification.

Si vous recevez une erreur Failed to create a managed certificate, vérifiez les points suivants :

La ressource de configuration d'émission de certificats que vous avez spécifiée lors de la création du certificat existe.
L'appelant dispose de l'autorisation certificatemanager.certissuanceconfigs.use sur la ressource de configuration d'émission de certificat que vous avez spécifiée lors de la création du certificat.
Le certificat se trouve au même emplacement que la ressource de configuration d'émission de certificat.

Si vous recevez une erreur Failed to renew certificate ou Failed to provision certificate, vérifiez les points suivants :

Le compte de service Certificate Manager dispose de l'autorisation roles/privateca.certificateRequester sur le pool d'autorités de certification spécifié dans la ressource de configuration d'émission de certificats utilisée pour ce certificat.

Exécutez la commande suivante pour vérifier les autorisations sur le pool d'AC cible :
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Remplacez les éléments suivants :
- CA_POOL : chemin d'accès complet et nom du pool d'autorités de certification cible
- REGION : région Google Cloud cible
Une règle d'émission de certificats est en vigueur. Pour en savoir plus, consultez Problèmes liés aux restrictions du règlement sur l'émission.

Problèmes liés aux restrictions du règlement sur l'émission

Si Certificate Manager n'est pas compatible avec les modifications apportées à un certificat par la règle d'émission de certificats, le provisionnement du certificat échoue et l'état du certificat géré passe à Failed. Pour résoudre le problème, vérifiez les points suivants :

Les contraintes d'identité du certificat permettent le transfert du sujet et de l'autre nom de l'objet (SAN).
La contrainte de durée de vie maximale du certificat est supérieure à la durée de vie de la ressource de configuration de l'émission du certificat.

Pour les problèmes précédents, étant donné que Certificate Authority Service a déjà émis le certificat, vous êtes facturé conformément aux tarifs de Certificate Authority Service.

Si vous recevez l'erreur Rejected for issuing certificates from the configured CA Pool, cela signifie que la règle d'émission de certificats a bloqué le certificat demandé. Pour résoudre l'erreur, vérifiez les points suivants :

Le mode d'émission du certificat autorise les demandes de signature de certificat (CSR).
Les types de clés autorisés sont compatibles avec l'algorithme de clé de la ressource de configuration d'émission de certificat utilisée.

Pour les problèmes précédents, comme CA Service n'a pas émis le certificat, vous ne serez pas facturé par CA Service.

Problèmes liés à la correspondance du nom d'hôte IAP

Si vous obtenez l'erreur The host name provided does not match the SSL certificate on the server de manière inattendue lorsque vous utilisez Certificate Manager avec Identity-Aware Proxy (IAP), vérifiez que vous utilisez un certificat valide pour ce nom d'hôte. Vous pouvez également lister les entrées de mappage de certificats que vous avez configurées dans votre mappage de certificats. Chaque nom d'hôte ou nom d'hôte générique que vous comptez utiliser avec IAP doit disposer d'une entrée dédiée. Si l'entrée de mappage de certificat pour votre nom d'hôte est manquante, créez-en une.

Les requêtes qui reviennent à l'entrée de mappage de certificat principal lors de la sélection du certificat sont toujours refusées par IAP.

Échecs de validation de domaine multiperspectives

Google Cloud renouvelle régulièrement vos certificats gérés par Google en les demandant aux autorités de certification. Les autorités de certification avec lesquellesGoogle Cloud collabore pour renouveler vos certificats utilisent une méthode de validation de domaine multi-perspective appelée Multi-Perspective Issuance Corroboration (MPIC). Dans le cadre de ce processus, les autorités de certification vérifient le contrôle du domaine en examinant les paramètres DNS du domaine et, dans le cas de l'autorisation de l'équilibreur de charge, en tentant de contacter le serveur derrière l'adresse IP du domaine. Ces vérifications sont effectuées à partir de plusieurs points d'observation sur Internet. Si le processus de validation échoue, les certificats gérés par Google ne sont pas renouvelés. Par conséquent, votre équilibreur de charge fournit un certificat expiré aux clients, ce qui entraîne des erreurs de certificat pour les utilisateurs de navigateurs et des échecs de connexion pour les clients API.

Pour éviter les échecs de validation de domaine multiperspective en raison d'enregistrements DNS mal configurés, notez les points suivants :

Les enregistrements DNS A (IPv4) et DNS AAAA (IPv6) pour vos domaines et tous vos sous-domaines pointent uniquement vers l'adresse IP (ou les adresses IP) associée à la ou aux règles de transfert de l'équilibreur de charge. La présence d'autres adresses dans l'enregistrement peut entraîner l'échec de la validation.
L'autorité de certification, qui valide les enregistrements DNS, interroge les enregistrements DNS à partir de plusieurs emplacements. Assurez-vous que votre fournisseur DNS répond de manière cohérente à toutes les demandes de validation de domaine mondiales.
L'utilisation de GeoDNS (qui renvoie différentes adresses IP en fonction de l'emplacement de la requête) ou de règles DNS basées sur la localisation peut entraîner des réponses incohérentes et l'échec de la validation. Si votre fournisseur DNS utilise GeoDNS, désactivez-le ou assurez-vous que toutes les régions renvoient la même adresse IP de l'équilibreur de charge.
Si vous utilisez la méthode d'autorisation de l'équilibreur de charge pour provisionner des certificats gérés par Google, vous devez spécifier explicitement les adresses IP de votre équilibreur de charge dans votre configuration DNS. Les couches intermédiaires, telles qu'un CDN, peuvent entraîner un comportement imprévisible. L'adresse IP doit être directement accessible, sans redirection, pare-feu ni CDN dans le chemin de la requête. Pour en savoir plus, consultez la section Équilibreurs de charge derrière un CDN de ce document.
Nous vous recommandons d'utiliser l'outil de vérification de la propagation DNS de votre choix pour vous assurer que tous les enregistrements DNS pertinents sont résolus correctement et de manière cohérente dans le monde entier.

Vérifier les modifications de configuration

Une fois que vous avez configuré vos enregistrements DNS, vous pouvez vérifier qu'ils sont corrects en créant un certificat et en l'associant à votre équilibreur de charge avec le certificat existant. Cette étape force une vérification immédiate de l'approvisionnement des certificats auprès de l'autorité de certification, ce qui vous permet de vérifier vos modifications de configuration en quelques minutes. Sans cela, le renouvellement automatique du certificat existant peut prendre des jours ou des semaines, ce qui laisse planer une incertitude sur votre configuration.

Si l'état du certificat devient ACTIVE, cela signifie que le certificat a été émis et que votre configuration DNS est correcte. À ce stade, nous vous recommandons de supprimer l'ancien certificat pour éviter d'avoir deux certificats distincts pour le même domaine. Ce processus n'interrompt pas le trafic vers votre équilibreur de charge.

Le nouveau certificat sert d'outil de validation. Sa création confirme que la validation de domaine multiperspective à l'aide de MPIC fonctionne correctement pour votre configuration.

Équilibreurs de charge derrière un CDN

Pour les équilibreurs de charge sur lesquels le CDN est activé, certains fournisseurs CDN tiers dans le chemin de la requête peuvent empêcher la réussite des requêtes de validation. Cela peut se produire si le fournisseur CDN transmet activement le trafic HTTP(S) au proxy.

Dans ce cas, nous vous recommandons d'utiliser la méthode d'autorisation DNS pour provisionner les certificats gérés par Google. Cette dernière approche ne nécessite pas que l'autorité de certification contacte votre équilibreur de charge.