Risoluzione dei problemi relativi a Gestore dei certificati

Questa pagina descrive gli errori più comuni che potresti riscontrare durante l'utilizzo di Certificate Manager. Fornisce inoltre i passaggi per diagnosticare e risolvere questi errori.

Problemi relativi ai certificati TLS (SSL)

Per assistenza nella risoluzione dei problemi relativi ai certificati TLS (SSL), consulta la sezione Risoluzione dei problemi relativi ai certificati SSL.

Errori relativi ai certificati di Certificate Manager

Questa sezione spiega le informazioni per la risoluzione dei problemi relativi al campo authorizationAttemptInfo dei certificati Certificate Manager gestiti da Google. Gli errori vengono visualizzati nella sezione managed.authorizationAttemptInfo.troubleshooting solo quando i seguenti campi hanno questi valori:

• managed.authorizationAttemptInfo.state = FAILED
• managed.authorizationAttemptInfo.failureReason = CONFIG

Per ulteriori informazioni sugli errori e su come risolverli, consulta la tabella seguente:

Errore	Descrizione
CNAME_MISMATCH	Questo errore si verifica solo per le autorizzazioni DNS quando il valore del record CNAME previsto non corrisponde al valore del record CNAME risolto. Per risolvere il problema, aggiungi il record CNAME previsto corretto alla configurazione DNS. Per saperne di più, consulta la sezione Aggiungere il record CNAME alla configurazione DNS.
RESOLVED_TO_NOT_SERVING	Questo errore si verifica quando il dominio contiene record DNS A e AAAA che puntano a determinati indirizzi IP in cui il certificato non è collegato ad alcun bilanciatore del carico. L'errore si applica solo ai certificati con autorizzazioni del bilanciatore del carico. Puoi eseguire il provisioning dei certificati utilizzando l'autorizzazione del bilanciatore del carico solo dopo aver configurato il bilanciatore del carico. Per risolvere il problema, aggiorna i record A e AAAA DNS del dominio in modo che puntino all'indirizzo IP del bilanciamento del carico. Gli indirizzi IP risolti dai record DNS A e AAAA del dominio vengono memorizzati nel parametro ips.resolved e gli indirizzi IP del bilanciamento del carico a cui è allegato questo certificato vengono memorizzati nel parametro ips.serving. I record DNS A e AAAA del dominio devono rimandare solo all'indirizzo IP del bilanciatore del carico. Ad esempio, se un record DNS A rimanda all'indirizzo IP del bilanciamento del carico, ma il record DNS AAAA rimanda a un indirizzo IP diverso, si verifica l'errore RESOLVED_TO_NOT_SERVING. Devi anche assicurarti che i record A e AAAA DNS del dominio vengano risolti in modo corretto e coerente in tutto il mondo. Per ulteriori informazioni, consulta la sezione Errori di convalida del dominio da più prospettive.
NO_RESOLVED_IPS	Questo errore si verifica quando il dominio non contiene record DNS A e AAAA. L'errore si applica solo ai certificati con autorizzazioni del bilanciatore del carico. Puoi eseguire il provisioning dei certificati utilizzando l'autorizzazione del bilanciatore del carico solo dopo aver configurato il bilanciatore del carico. Per risolvere il problema, aggiungi i record DNS A e AAAA per questo dominio e assicurati che puntino all'indirizzo IP del proxy HTTPS di destinazione o del servizio di edge cache Media CDN. Devi anche assicurarti che i record A e AAAA DNS del dominio vengano risolti in modo corretto e coerente in tutto il mondo. Per ulteriori informazioni, consulta la sezione Errori di convalida del dominio da più prospettive.
RESOLVED_TO_SERVING_ON_ALT_PORTS	Questo errore si verifica quando il dominio che contiene i record DNS A e AAAA punta agli indirizzi IP di un bilanciatore del carico a cui è allegato questo certificato, ma la porta 443 non è aperta su questi indirizzi IP. L'errore si applica solo ai certificati con autorizzazioni del bilanciatore del carico. Puoi eseguire il provisioning dei certificati utilizzando l'autorizzazione del bilanciatore del carico solo dopo aver configurato il bilanciatore del carico. Per risolvere il problema, assicurati che il bilanciatore del carico con il certificato allegato sia in ascolto sulla porta 443. Il parametro ips.serving_on_alt_ports memorizza l'elenco degli indirizzi IP del bilanciatore del carico per i quali la porta 443 non è aperta. Devi anche assicurarti che i record A e AAAA DNS del dominio vengano risolti in modo corretto e coerente in tutto il mondo. Per ulteriori informazioni, consulta la sezione Errori di convalida del dominio da più prospettive.
CERTIFICATE_NOT_ATTACHED	Questo errore si verifica quando il certificato non è collegato a un bilanciatore del carico. Per risolvere il problema, assicurati che il certificato sia collegato a un bilanciamento del carico. Per ulteriori informazioni, consulta la sezione Esegui il deployment del certificato in un bilanciatore del carico. Questo errore si verifica anche quando un certificato fa parte di una mappa dei certificati allegata a un proxy HTTPS di destinazione, ma il proxy non è allegato a una regola di forwarding. Per risolvere il problema, collega il proxy HTTPS di destinazione alla regola di forwarding appropriata. Per saperne di più, consulta la panoramica dei proxy di destinazione e la panoramica delle regole di forwarding. L'errore si applica solo ai certificati con autorizzazioni del bilanciatore del carico. Puoi eseguire il provisioning dei certificati utilizzando l'autorizzazione del bilanciatore del carico solo dopo aver configurato il bilanciatore del carico.

Errore durante il distacco di una mappa dei certificati da un proxy di destinazione

Quando scolleghi una mappa dei certificati da un proxy di destinazione, ricevi il seguente errore:

"There must be at least one certificate configured for a target proxy."

Questo errore si verifica quando non sono presenti certificati assegnati al proxy di destinazione oltre a quelli specificati nella mappa dei certificati che stai tentando di scollegare. Per scollegare la mappa, assegna prima uno o più certificati direttamente al proxy.

Errore durante l'associazione di una voce della mappa dei certificati a un certificato

Quando associ una voce della mappa di certificati a un certificato, ricevi il seguente errore:

"certificate can't be used more than 100 times"

Questo errore si verifica quando tenti di associare una voce della mappa dei certificati a un certificato già associato a 100 voci della mappa dei certificati. Per risolvere il problema:

• Per i certificati gestiti da Google, crea un altro certificato. Associa le nuove voci della mappa di certificati a questo nuovo certificato e collega il nuovo certificato al bilanciatore del carico.
• Per i certificati autogestiti, carica di nuovo il certificato con un nuovo nome. Associa le nuove voci della mappa dei certificati a questo nuovo certificato e collega il nuovo certificato al bilanciatore del carico.

Problemi relativi ai certificati emessi da un'istanza del servizio CA

Questa sezione elenca gli errori più comuni che potresti riscontrare quando utilizzi Certificate Manager per il deployment dei certificati gestiti da Google emessi dall'istanza CA Service e le loro possibili cause.

Se ricevi l'errore Failed to create Certificate Issuance Config resources, controlla quanto segue:

• Il lifetime. I valori validi per la durata del certificato vanno da 21 a 30 giorni.
• La percentuale della finestra di rotazione. Le percentuali valide della finestra di rotazione sono comprese tra l'1 e il 99%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato in modo che il rinnovo del certificato avvenga almeno 7 giorni dopo l'emissione e almeno 7 giorni prima della scadenza.
• L'algoritmo chiave. I valori validi dell'algoritmo chiave sono: RSA_2048 e ECDSA_P256.
• Il pool di CA. Il pool di CA non esiste o è configurato in modo errato. Il pool di CA deve contenere almeno una CA abilitata e il chiamante deve disporre dell'autorizzazione privateca.capools.use sul progetto Google Cloud di destinazione. Per i certificati regionali, la risorsa di configurazione dell'emissione di certificati deve essere creata nella stessa località del pool di CA.

Se ricevi un errore Failed to create a managed certificate, controlla quanto segue:

• Esiste la risorsa di configurazione dell'emissione dei certificati che hai specificato durante la creazione del certificato.
• Il chiamante dispone dell'autorizzazione certificatemanager.certissuanceconfigs.use per la risorsa di configurazione di emissione dei certificati specificata durante la creazione del certificato.
• Il certificato si trova nella stessa posizione della risorsa di configurazione di emissione del certificato.

Se ricevi un errore Failed to renew certificate o Failed to provision certificate, controlla quanto segue:

• Il account di servizio Certificate Manager dispone dell'autorizzazione roles/privateca.certificateRequester sul pool di CA specificato nella risorsa di configurazione dell'emissione di certificati utilizzata per questo certificato.

  Utilizza il seguente comando per verificare le autorizzazioni sul pool di CA di destinazione:

  gcloud privateca pools get-iam-policy CA_POOL
  --location REGION
  

  Sostituisci quanto segue:

  • CA_POOL: il percorso e il nome completi della risorsa del pool di CA di destinazione
  • REGION: la regione di Google Cloud destinazione

• È in vigore una normativa di emissione dei certificati. Per maggiori informazioni, consulta Problemi relativi alle limitazioni delle norme di emissione.

Problemi relativi alle limitazioni delle norme di emissione

Se Certificate Manager non supporta le modifiche a un certificato apportate dal criterio di emissione dei certificati, il provisioning dei certificati non va a buon fine e lo stato del certificato gestito cambia in Failed. Per risolvere il problema, verifica quanto segue:

• I vincoli di identità del certificato consentono il passthrough dell'oggetto e del nome alternativo dell'oggetto (SAN).
• Il vincolo di durata massima del certificato è maggiore della durata della risorsa di configurazione dell'emissione del certificato.

Per i problemi precedenti, poiché CA Service ha già emesso il certificato, la fatturazione viene eseguita in base ai prezzi di CA Service.

Se ricevi l'errore Rejected for issuing certificates from the configured CA Pool, significa che i criteri di emissione dei certificati hanno bloccato il certificato richiesto. Per risolvere l'errore, verifica quanto segue:

• La modalità di emissione del certificato consente le richieste di firma del certificato (CSR).
• I tipi di chiave consentiti sono compatibili con l'algoritmo della chiave della risorsa di configurazione dell'emissione del certificato in uso.

Per i problemi precedenti, poiché il servizio CA non ha emesso il certificato, non ti viene addebitato alcun costo.

Problemi relativi alla corrispondenza del nome host IAP

Se ricevi inaspettatamente l'errore The host name provided does not match the SSL certificate on the server quando utilizzi Certificate Manager con Identity-Aware Proxy (IAP), verifica di utilizzare un certificato valido per quel nome host. Inoltre, elenca le voci della mappa di certificati che hai configurato nella mappa di certificati. Ogni nome host o nome host con caratteri jolly che intendi utilizzare con IAP deve avere una voce dedicata. Se la voce della mappa di certificati per il tuo nome host non è presente, creane una.

Le richieste che rientrano nella voce della mappa dei certificati principale durante la selezione dei certificati vengono sempre rifiutate da IAP.

Errori di convalida del dominio da più punti di vista

Google Cloud rinnova periodicamente i certificati gestiti da Google richiedendoli alle autorità di certificazione (CA). Le CA con cui Google Cloud collabora per rinnovare i certificati utilizzano un metodo di convalida del dominio multi-prospettiva noto come Multi-Perspective Issuance Corroboration (MPIC). Nell'ambito di questa procedura, le autorità di certificazione verificano il controllo del dominio controllando le impostazioni DNS del dominio e, nel caso dell'autorizzazione del bilanciatore del carico, tentando di contattare il server dietro l'indirizzo IP del dominio. Queste verifiche vengono eseguite da più punti di vista su internet. Se il processo di convalida non riesce, i certificati gestiti da Google non vengono rinnovati. Di conseguenza, il bilanciatore del carico fornisce un certificato scaduto ai client, causando errori di certificato per gli utenti del browser e errori di connessione per i client API.

Per evitare errori di convalida del dominio da più prospettive per record DNS configurati in modo errato, tieni presente quanto segue:

• I record A DNS (IPv4) e AAAA DNS (IPv6) per i tuoi domini e qualsiasi sottodominio puntano solo all'indirizzo IP (o agli indirizzi IP) associato alla regola (o alle regole) di regola di forwarding del bilanciatore del carico. La presenza di altri indirizzi nel record può causare un errore di convalida.
• L'autorità di certificazione, che esegue la convalida dei record DNS, esegue query sui record DNS da più località. Assicurati che il tuo provider DNS risponda in modo coerente a tutte le richieste di convalida del dominio globale.
• L'utilizzo di GeoDNS (che restituisce indirizzi IP diversi in base alla posizione della richiesta) o di criteri DNS basati sulla posizione può portare a risposte incoerenti e causare un errore di convalida. Se il tuo provider DNS utilizza GeoDNS, disattivalo o assicurati che tutte le regioni restituiscano lo stesso indirizzo IP del bilanciatore del carico.
• Se utilizzi il metodo di autorizzazione del bilanciatore del carico per eseguire il provisioning dei certificati gestiti da Google, devi specificare in modo esplicito gli indirizzi IP del bilanciatore del carico nella configurazione DNS. I livelli intermedi, come una CDN, possono causare comportamenti imprevedibili. L'indirizzo IP deve essere direttamente accessibile senza reindirizzamenti, firewall o CDN nel percorso della richiesta. Per saperne di più, consulta la sezione Bilanciatori del carico dietro una CDN di questo documento.
• Ti consigliamo di utilizzare uno strumento di controllo della propagazione DNS globale a tua scelta per verificare che tutti i record DNS pertinenti vengano risolti in modo corretto e coerente in tutto il mondo.

Verificare le modifiche alla configurazione

Dopo aver configurato i record DNS, puoi verificare che siano corretti creando un nuovo certificato e collegandolo al bilanciamento del carico insieme al certificato esistente. Questo passaggio forza un controllo immediato del provisioning dei certificati con l'autorità di certificazione, consentendoti di verificare le modifiche alla configurazione in pochi minuti. Senza questa operazione, i rinnovi automatici del certificato esistente possono richiedere giorni o settimane, lasciando incertezza sulla configurazione.

Se lo stato del certificato diventa ACTIVE, significa che il certificato è stato emesso, confermando così che la configurazione DNS è corretta. A questo punto, ti consigliamo di rimuovere il certificato precedente per evitare di avere due certificati separati per lo stesso dominio. Questo processo non interrompe il traffico verso il bilanciatore del carico.

Il nuovo certificato funge da strumento di convalida: la sua creazione conferma che la convalida del dominio multiprospettiva tramite MPIC funziona correttamente per la tua configurazione.

Bilanciatori del carico dietro una CDN

Per i bilanciatori del carico in cui è abilitata la CDN, alcuni provider CDN di terze parti nel percorso della richiesta potrebbero impedire la riuscita delle richieste di convalida. Ciò può accadere se il provider CDN esegue il proxy del traffico HTTP(S).

In questi casi, consigliamo di utilizzare il metodo di autorizzazione DNS per il provisioning dei certificati gestiti da Google. Il secondo approccio non richiede all'autorità di certificazione di contattare il bilanciatore del carico.

Passaggi successivi

• Note di rilascio di Certificate Manager
• Supporto di Gestore certificati