Halaman ini diterjemahkan oleh Cloud Translation API.

Memecahkan Masalah Pengelola Sertifikat

Halaman ini menjelaskan error paling umum yang mungkin Anda alami saat menggunakan Certificate Manager. Di dalamnya juga diberikan langkah-langkah untuk mendiagnosis dan menyelesaikan error tersebut.

Masalah terkait sertifikat TLS (SSL)

Untuk mendapatkan bantuan dalam menyelesaikan masalah terkait sertifikat TLS (SSL), lihat artikel Memecahkan masalah sertifikat SSL.

Error terkait sertifikat Certificate Manager

Bagian ini menjelaskan informasi pemecahan masalah untuk error terkait kolom authorizationAttemptInfo pada sertifikat Certificate Manager yang dikelola Google. Error ditampilkan di bagian managed.authorizationAttemptInfo.troubleshooting hanya jika kolom berikut memiliki nilai ini:

managed.authorizationAttemptInfo.state = FAILED
managed.authorizationAttemptInfo.failureReason = CONFIG

Untuk mengetahui informasi selengkapnya tentang error dan cara mengatasinya, lihat tabel berikut:

Error	Deskripsi
`CNAME_MISMATCH`	Error ini hanya terjadi untuk otorisasi DNS jika nilai data `CNAME` yang diharapkan tidak cocok dengan nilai data `CNAME` yang telah di-resolve. Untuk memperbaiki masalah ini, tambahkan data CNAME yang diharapkan dengan benar ke konfigurasi DNS Anda. Untuk mengetahui informasi selengkapnya, lihat bagian Menambahkan data CNAME ke konfigurasi DNS Anda.
`RESOLVED_TO_NOT_SERVING`	Error ini terjadi saat domain berisi data DNS `A` dan `AAAA` yang mengarah ke alamat IP tertentu yang sertifikatnya tidak dilampirkan ke load balancer mana pun. Error ini hanya berlaku untuk sertifikat dengan otorisasi load balancer. Anda dapat menyediakan sertifikat menggunakan otorisasi load balancer hanya setelah mengonfigurasi load balancer. Untuk mengatasi masalah ini, perbarui data DNS A dan AAAA domain agar mengarah ke alamat IP load balancer Anda. Alamat IP yang ditetapkan dari data DNS `A` dan `AAAA` domain disimpan dalam parameter `ips.resolved` dan alamat IP load balancer tempat sertifikat ini dilampirkan disimpan dalam parameter `ips.serving`. Data `A` dan `AAAA` DNS domain harus mengarah hanya ke alamat IP load balancer. Misalnya, jika data `A` DNS mengarah ke alamat IP load balancer, tetapi data `AAAA` DNS mengarah ke alamat IP yang berbeda, maka terjadi kesalahan `RESOLVED_TO_NOT_SERVING`. Anda juga harus memastikan bahwa data DNS `A` dan `AAAA` domain diselesaikan dengan benar dan konsisten di seluruh dunia. Untuk mengetahui informasi selengkapnya, lihat bagian Kegagalan validasi domain multi-perspektif.
`NO_RESOLVED_IPS`	Error ini terjadi saat domain tidak berisi data DNS `A` dan `AAAA`. Error ini hanya berlaku untuk sertifikat dengan otorisasi load balancer. Anda dapat menyediakan sertifikat menggunakan otorisasi load balancer hanya setelah mengonfigurasi load balancer. Untuk mengatasi masalah ini, tambahkan data DNS `A` dan `AAAA` untuk domain ini dan pastikan data tersebut mengarah ke alamat IP layanan proxy HTTPS atau cache tepi Media CDN target. Anda juga harus memastikan bahwa data DNS `A` dan `AAAA` domain diselesaikan dengan benar dan konsisten di seluruh dunia. Untuk mengetahui informasi selengkapnya, lihat bagian Kegagalan validasi domain multi-perspektif.
`RESOLVED_TO_SERVING_ON_ALT_PORTS`	Error ini terjadi saat domain yang berisi data DNS `A` dan `AAAA` mengarah ke alamat IP load balancer tempat sertifikat ini dilampirkan, tetapi port `443` tidak terbuka di alamat IP tersebut. Error ini hanya berlaku untuk sertifikat dengan otorisasi load balancer. Anda dapat menyediakan sertifikat menggunakan otorisasi load balancer hanya setelah Anda mengonfigurasi load balancer. Untuk mengatasi masalah ini, pastikan load balancer dengan sertifikat yang terlampir memproses di port `443`. Parameter `ips.serving_on_alt_ports` menyimpan daftar alamat IP load balancer yang port `443`-nya tidak terbuka. Anda juga harus memastikan bahwa data DNS `A` dan `AAAA` domain diselesaikan dengan benar dan konsisten di seluruh dunia. Untuk mengetahui informasi selengkapnya, lihat bagian Kegagalan validasi domain multi-perspektif.
`CERTIFICATE_NOT_ATTACHED`	Error ini terjadi saat sertifikat tidak dilampirkan ke load balancer. Untuk mengatasi masalah ini, pastikan sertifikat terlampir ke load balancer. Untuk mengetahui informasi selengkapnya, lihat bagian Men-deploy sertifikat ke load balancer. Error ini juga terjadi saat sertifikat adalah bagian dari peta sertifikat yang dilampirkan ke proxy HTTPS target, tetapi proxy tidak dilampirkan ke aturan penerusan. Untuk mengatasi masalah ini, lampirkan proxy HTTPS target ke aturan penerusan yang sesuai. Untuk mengetahui informasi selengkapnya, lihat Ringkasan proxy target dan Ringkasan aturan penerusan. Error ini hanya berlaku untuk sertifikat dengan otorisasi load balancer. Anda dapat menyediakan sertifikat menggunakan otorisasi load balancer hanya setelah Anda mengonfigurasi load balancer.

Error saat melepaskan peta sertifikat dari proxy target

Saat melepaskan peta sertifikat dari proxy target, Anda akan menerima error berikut:

"There must be at least one certificate configured for a target proxy."

Error ini terjadi jika tidak ada sertifikat yang ditetapkan ke proxy target selain yang ditentukan dalam peta sertifikat yang Anda coba lepaskan. Untuk melepaskan peta, tetapkan terlebih dahulu satu atau beberapa sertifikat langsung ke proxy.

Terjadi error saat mengaitkan entri peta sertifikat dengan sertifikat

Saat mengaitkan entri peta sertifikat dengan sertifikat, Anda akan menerima error berikut:

"certificate can't be used more than 100 times"

Error ini terjadi saat Anda mencoba mengaitkan entri peta sertifikat dengan sertifikat yang sudah dikaitkan dengan 100 entri peta sertifikat. Untuk mengatasi masalah ini, lakukan langkah berikut:

Untuk sertifikat yang dikelola Google, buat sertifikat lain. Kaitkan entri peta sertifikat baru dengan sertifikat baru ini, lalu lampirkan sertifikat baru ke load balancer.
Untuk sertifikat yang dikelola sendiri, upload sertifikat lagi dengan nama baru. Kaitkan entri peta sertifikat baru dengan sertifikat baru ini, dan lampirkan sertifikat baru ke load balancer.

Masalah terkait sertifikat yang diterbitkan oleh instance CA Service

Bagian ini mencantumkan error paling umum yang mungkin Anda temui saat menggunakan Pengelola Sertifikat untuk men-deploy sertifikat yang dikelola Google yang dikeluarkan oleh instance Layanan CA Anda dan kemungkinan penyebabnya.

Jika Anda menerima error Failed to create Certificate Issuance Config resources, periksa hal berikut:

Masa aktif. Nilai masa berlaku sertifikat yang valid adalah dari 21 hingga 30 hari.
Persentase periode rotasi. Persentase periode rotasi yang valid adalah dari 1 hingga 99 persen. Anda harus menetapkan persentase periode rotasi yang terkait dengan masa berlaku sertifikat sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat diterbitkan dan setidaknya 7 hari sebelum masa berlakunya habis.
Algoritma kunci. Nilai algoritma kunci yang valid adalah: RSA_2048 dan ECDSA_P256.
Kumpulan CA. Kumpulan CA tidak ada atau salah dikonfigurasi. Kumpulan CA harus berisi setidaknya satu CA yang diaktifkan dan pemanggil harus memiliki izin privateca.capools.use di projectGoogle Cloud target. Untuk sertifikat regional, resource konfigurasi penerbitan sertifikat harus dibuat di lokasi yang sama dengan kumpulan CA.

Jika Anda menerima error Failed to create a managed certificate, periksa hal-hal berikut:

Resource konfigurasi penerbitan sertifikat yang Anda tentukan saat membuat sertifikat ada.
Pemanggil memiliki izin certificatemanager.certissuanceconfigs.use pada resource Konfigurasi penerbitan sertifikat yang Anda tentukan saat membuat sertifikat.
Sertifikat berada di lokasi yang sama dengan resource konfigurasi penerbitan sertifikat.

Jika Anda menerima error Failed to renew certificate atau Failed to provision certificate, periksa hal berikut:

Akun layanan Pengelola Sertifikat memiliki izin roles/privateca.certificateRequester pada kumpulan CA yang ditentukan dalam resource konfigurasi penerbitan sertifikat yang digunakan untuk sertifikat ini.

Gunakan perintah berikut untuk memeriksa izin pada kumpulan CA target:
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
Ganti kode berikut:
- CA_POOL: jalur dan nama resource lengkap dari kumpulan CA target
- REGION: region Google Cloud target
Kebijakan penerbitan sertifikat sedang berlaku. Untuk mengetahui informasi selengkapnya, lihat Masalah terkait pembatasan kebijakan penerbitan.

Masalah terkait pembatasan kebijakan penerbitan

Jika Pengelola Sertifikat tidak mendukung perubahan pada sertifikat yang dilakukan oleh kebijakan penerbitan sertifikat, penyediaan sertifikat akan gagal dan status sertifikat terkelola berubah menjadi Failed. Untuk mengatasi masalah ini, pastikan hal berikut:

Batasan identitas sertifikat memungkinkan penerusan subjek dan nama alternatif subjek (SAN).
Batasan masa berlaku maksimum sertifikat lebih besar daripada masa berlaku resource konfigurasi penerbitan sertifikat.

Untuk masalah sebelumnya, karena CA Service telah menerbitkan sertifikat, Anda akan ditagih sesuai dengan harga CA Service.

Jika Anda menerima error Rejected for issuing certificates from the configured CA Pool, berarti kebijakan penerbitan sertifikat telah memblokir sertifikat yang diminta. Untuk mengatasi error, periksa hal berikut:

Mode penerbitan sertifikat memungkinkan permintaan penandatanganan sertifikat (CSR).
Jenis kunci yang diizinkan kompatibel dengan algoritma kunci dari resource konfigurasi penerbitan sertifikat yang digunakan.

Untuk masalah sebelumnya, karena CA Service belum mengeluarkan sertifikat, Anda tidak akan ditagih oleh CA Service.

Masalah terkait pencocokan nama host IAP

Jika Anda tiba-tiba mendapatkan error The host name provided does not match the SSL certificate on the server saat menggunakan Certificate Manager dengan Identity-Aware Proxy (IAP), periksa apakah Anda menggunakan sertifikat yang valid untuk nama host tersebut. Selain itu, cantumkan entri peta sertifikat yang telah Anda konfigurasi di peta sertifikat. Setiap nama host atau nama host wildcard yang ingin Anda gunakan dengan IAP harus memiliki entri khusus. Jika entri peta sertifikat untuk nama host Anda tidak ada, buat entri peta sertifikat.

Permintaan yang kembali ke entri peta sertifikat utama selama pemilihan sertifikat selalu ditolak oleh IAP.

Kegagalan validasi domain multi-perspektif

Google Cloud memperpanjang sertifikat yang dikelola Google secara berkala dengan memintanya dari certificate authority (CA). CA yang Google Cloud bekerja sama untuk memperpanjang sertifikat Anda menggunakan metode validasi domain multi-perspektif yang dikenal sebagai Multi-Perspective Issuance Corroboration (MPIC). Sebagai bagian dari proses ini, otoritas sertifikat memverifikasi kontrol domain dengan memeriksa setelan DNS domain, dan dalam kasus otorisasi load balancer, dengan mencoba menghubungi server di balik alamat IP domain. Verifikasi ini dilakukan dari berbagai sudut pandang di internet. Jika proses validasi gagal, sertifikat yang dikelola Google akan gagal diperpanjang. Akibatnya, load balancer Anda menyajikan sertifikat yang sudah habis masa berlakunya kepada klien, sehingga pengguna browser mengalami error sertifikat dan klien API mengalami kegagalan koneksi.

Untuk mencegah kegagalan validasi domain multi-perspektif karena kesalahan konfigurasi data DNS, perhatikan hal-hal berikut:

Data A DNS (IPv4) dan data AAAA DNS (IPv6) untuk domain dan subdomain Anda hanya mengarah ke alamat IP (atau alamat) yang terkait dengan aturan penerusan load balancer (atau aturan). Keberadaan alamat lain dalam catatan dapat menyebabkan validasi gagal.
CA, yang melakukan validasi data DNS, membuat kueri data DNS dari beberapa lokasi. Pastikan penyedia DNS Anda merespons semua permintaan validasi domain global secara konsisten.
Menggunakan GeoDNS (menampilkan alamat IP yang berbeda berdasarkan lokasi permintaan) atau kebijakan DNS berbasis lokasi dapat menyebabkan respons yang tidak konsisten dan menyebabkan validasi gagal. Jika penyedia DNS Anda menggunakan GeoDNS, nonaktifkan GeoDNS, atau pastikan semua region menampilkan alamat IP load balancer yang sama.
Jika Anda menggunakan metode otorisasi load balancer untuk menyediakan sertifikat yang dikelola Google, Anda harus secara eksplisit menentukan alamat IP load balancer Anda dalam konfigurasi DNS Anda. Lapisan perantara, seperti CDN, dapat menyebabkan perilaku yang tidak dapat diprediksi. Alamat IP harus dapat diakses secara langsung tanpa pengalihan, firewall, atau CDN di jalur permintaan. Untuk mempelajari lebih lanjut, lihat bagian Load balancer di belakang CDN dalam dokumen ini.
Sebaiknya gunakan pemeriksa propagasi global DNS pilihan Anda untuk memverifikasi bahwa semua data DNS yang relevan diselesaikan dengan benar dan konsisten di seluruh dunia.

Memverifikasi perubahan konfigurasi

Setelah mengonfigurasi data DNS, Anda dapat memverifikasi bahwa data tersebut sudah benar dengan membuat sertifikat baru dan menghubungkannya ke load balancer bersama dengan sertifikat yang ada. Langkah ini akan memaksakan pemeriksaan penyediaan sertifikat langsung dengan CA, sehingga Anda dapat memverifikasi perubahan konfigurasi dalam beberapa menit. Tanpa hal ini, perpanjangan otomatis sertifikat yang ada dapat memakan waktu berhari-hari atau berminggu-minggu, sehingga menimbulkan ketidakpastian tentang penyiapan Anda.

Jika status sertifikat berubah menjadi ACTIVE, hal ini menunjukkan bahwa sertifikat telah diterbitkan, sehingga mengonfirmasi bahwa konfigurasi DNS Anda sudah benar. Pada tahap ini, sebaiknya hapus sertifikat sebelumnya untuk menghindari kepemilikan dua sertifikat terpisah untuk domain yang sama. Proses ini tidak mengganggu traffic ke load balancer Anda.

Sertifikat baru berfungsi sebagai alat validasi—pembuatannya mengonfirmasi bahwa validasi domain multi-perspektif menggunakan MPIC berfungsi dengan benar untuk penyiapan Anda.

Load balancer di belakang CDN

Untuk load balancer yang mengaktifkan CDN, beberapa penyedia CDN pihak ketiga di jalur permintaan mungkin mencegah keberhasilan permintaan validasi. Hal ini dapat terjadi jika penyedia CDN secara aktif melakukan proxy traffic HTTP(S).

Dalam kasus tersebut, sebaiknya gunakan metode otorisasi DNS untuk menyediakan sertifikat yang dikelola Google. Pendekatan terakhir tidak mengharuskan CA menghubungi load balancer Anda.