Nesta página, descrevemos os erros mais comuns que você pode encontrar ao usar o Certificate Manager. Ele também fornece etapas para diagnosticar e resolver esses erros.
Problemas relacionados a certificados TLS (SSL)
Para receber ajuda com a resolução de problemas relacionados a certificados TLS (SSL), consulte Solução de problemas de certificados SSL.
Erros relacionados a certificados do Certificate Manager
Esta seção explica as informações de solução de problemas para erros relacionados ao campo
authorizationAttemptInfo dos certificados gerenciados pelo Google do
Certificate Manager. Os erros são mostrados na seção managed.authorizationAttemptInfo.troubleshooting somente quando os seguintes campos têm estes valores:
managed.authorizationAttemptInfo.state = FAILEDmanaged.authorizationAttemptInfo.failureReason = CONFIG
Para mais informações sobre os erros e como resolvê-los, consulte a tabela a seguir:
| Erro | Descrição |
|---|---|
CNAME_MISMATCH |
Esse erro ocorre apenas para autorizações de DNS quando o valor do registro CNAME esperado não corresponde ao valor do registro CNAME resolvido.
Para corrigir esse problema, adicione o registro CNAME esperado correto à sua configuração de DNS. Para mais informações, consulte a seção Adicionar o registro CNAME à configuração de DNS. |
RESOLVED_TO_NOT_SERVING |
Esse erro ocorre quando o domínio contém registros DNS A e
AAAA que apontam para determinados endereços IP em que o
certificado não está anexado a nenhum balanceador de carga.
O erro se aplica apenas a certificados com autorizações do balanceador de carga. É possível provisionar certificados usando a autorização do balanceador de carga somente depois de configurar o balanceador de carga.
Para resolver esse problema,
atualize os registros DNS A e AAAA do domínio para apontar para o endereço IP do balanceador de carga. Os endereços IP
resolvidos
dos registros DNS
Os registros DNS
Verifique também se os registros DNS |
NO_RESOLVED_IPS |
Esse erro ocorre quando o domínio não contém registros DNS A
e AAAA.
O erro se aplica apenas a certificados com autorizações do balanceador de carga. É possível provisionar certificados usando a autorização do balanceador de carga somente depois de configurar o balanceador de carga.
Para resolver esse problema, adicione registros DNS
Verifique também se os registros DNS |
RESOLVED_TO_SERVING_ON_ALT_PORTS |
Esse erro ocorre quando o domínio que contém registros DNS A e
AAAA aponta para endereços IP de um balanceador de carga em que
o certificado está anexado, mas a porta 443
não está aberta nesses endereços IP.
O erro se aplica apenas a certificados com autorizações do balanceador de carga. É possível provisionar certificados usando a autorização do balanceador de carga somente depois de configurar o balanceador de carga.
Para resolver esse problema, verifique se o balanceador de carga com o certificado anexado está escutando na porta
Verifique também se os registros DNS |
CERTIFICATE_NOT_ATTACHED |
Esse erro ocorre quando o certificado não está anexado a um balanceador de carga. Para resolver esse problema, verifique se o certificado
está anexado a um balanceador de carga. Para mais informações, consulte a seção
Implantar o certificado em um balanceador de carga.
Esse erro também ocorre quando um certificado faz parte de um mapa de certificados anexado a um proxy HTTPS de destino, mas o proxy não está anexado a uma regra de encaminhamento. Para resolver esse problema, anexe o proxy HTTPS de destino à regra de encaminhamento adequada. Para mais informações, consulte Visão geral dos proxies de destino e Visão geral das regras de encaminhamento. O erro se aplica apenas a certificados com autorizações do balanceador de carga. É possível provisionar certificados usando a autorização do balanceador de carga somente depois de configurar o balanceador de carga. |
Erro ao desvincular um mapa de certificado de um proxy de destino
Ao desvincular um mapa de certificados de um proxy de destino, você recebe o seguinte erro:
"There must be at least one certificate configured for a target proxy."
Esse erro ocorre quando não há certificados atribuídos ao proxy de destino, além dos especificados no mapa de certificado que você está tentando desvincular. Para desvincular o mapa, primeiro atribua um ou mais certificados diretamente ao proxy.
Erro ao associar uma entrada do mapa de certificados a um certificado
Ao associar uma entrada de mapa de certificado a um certificado, você recebe o seguinte erro:
"certificate can't be used more than 100 times"
Esse erro ocorre quando você tenta associar uma entrada de mapa de certificados a um certificado que já está associado a 100 entradas de mapa de certificados. Para resolver o problema, faça o seguinte:
- Para certificados gerenciados pelo Google, crie outro certificado. Associe as novas entradas do mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.
- Para certificados autogerenciados, faça upload do certificado novamente com um novo nome. Associe as novas entradas do mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.
Problemas relacionados a certificados emitidos por uma instância do serviço de CA
Nesta seção, listamos os erros mais comuns que podem ocorrer ao usar o Gerenciador de certificados para implantar certificados gerenciados pelo Google emitidos pela sua instância do CA Service e as possíveis causas.
Se você receber o erro Failed to create Certificate Issuance Config resources,
verifique o seguinte:
- O ciclo de vida. Os valores válidos para o tempo de vida do certificado variam de 21 a 30 dias.
- A porcentagem da janela de rotação. As porcentagens válidas de rotação de janelas são de 1 a 99%. Você precisa definir a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.
- O algoritmo de chave. Os valores válidos do algoritmo de chave são:
RSA_2048eECDSA_P256. - O pool de CA. O pool de CAs não existe ou está configurado incorretamente.
O pool de CAs precisa ter pelo menos uma CA ativada, e o
chamador precisa ter a permissão
privateca.capools.useno projetoGoogle Cloud de destino. Para certificados regionais, o recurso de configuração de emissão de certificado precisa ser criado no mesmo local do pool de CAs.
Se você receber um erro Failed to create a managed certificate, verifique o seguinte:
- O recurso de configuração de emissão de certificado especificado ao criar o certificado existe.
- O autor da chamada tem a permissão
certificatemanager.certissuanceconfigs.useno recurso de configuração de emissão de certificado especificado ao criar o certificado. - O certificado está no mesmo local que o recurso de configuração de emissão de certificado.
Se você receber um erro Failed to renew certificate ou Failed to provision
certificate, verifique o seguinte:
A conta de serviço do Certificate Manager tem a permissão
roles/privateca.certificateRequesterno pool de CA especificado no recurso de configuração de emissão de certificado usado para este certificado.Use o comando a seguir para verificar as permissões no pool de CA de destino:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Substitua:
CA_POOL: o caminho completo do recurso e o nome do pool de CAs de destinoREGION: a região de destino Google Cloud
Uma política de emissão de certificados está em vigor. Para mais informações, consulte Problemas relacionados a restrições da política de emissão.
Problemas relacionados a restrições da política de emissão
Se o Certificate Manager não aceitar as mudanças feitas em um certificado pela política de emissão de certificados, o provisionamento vai falhar e o estado do certificado gerenciado vai mudar para Failed. Para resolver o problema, confirme o seguinte:
- As restrições de identidade do certificado permitem a transmissão direta do assunto e do nome alternativo do assunto (SAN).
- A restrição de vida útil máxima do certificado é maior que a vida útil do recurso de configuração de emissão de certificado.
Para os problemas anteriores, como o serviço de CA já emitiu o certificado, a cobrança é feita de acordo com os preços do serviço de CA.
Se você receber o erro Rejected for issuing certificates from the configured
CA Pool, isso indica que a política de emissão de certificados bloqueou o
certificado solicitado. Para resolver o erro, verifique o seguinte:
- O modo de emissão do certificado permite solicitações de assinatura de certificado (CSRs).
- Os tipos de chave permitidos são compatíveis com o algoritmo de chave do recurso de configuração de emissão de certificado em uso.
Para os problemas anteriores, como o serviço de CA não emitiu o certificado, você não recebe cobranças dele.
Problemas relacionados à correspondência de nomes de host do IAP
Se você receber o erro The host name provided does not match the
SSL certificate on the server ao usar o Gerenciador de certificados com o
Identity-Aware Proxy (IAP), verifique se você está usando um certificado
válido para esse nome de host. Também liste as entradas de mapa de certificado
que você configurou no mapa de certificado. Cada nome de host ou nome de host curinga que você pretende usar com o IAP precisa ter uma entrada dedicada. Se a entrada do mapa de certificado para seu nome de host estiver faltando, crie uma entrada de mapa de certificado.
As solicitações que voltam para a entrada principal do mapa de certificado durante a seleção de certificado são sempre rejeitadas pelo IAP.
Falhas na validação de domínio em várias perspectivas
OGoogle Cloud renova periodicamente seus certificados gerenciados pelo Google solicitando-os a autoridades de certificação (CAs). As CAs que o Google Cloud usa para renovar seus certificados usam um método de validação de domínio de várias perspectivas conhecido como Multi-Perspective Issuance Corroboration (MPIC). Como parte desse processo, as autoridades certificadoras verificam o controle do domínio conferindo as configurações de DNS do domínio e, no caso da autorização do balanceador de carga, tentando entrar em contato com o servidor por trás do endereço IP do domínio. Essas verificações são realizadas de vários pontos de vista na Internet. Se o processo de validação falhar, os certificados gerenciados pelo Google não serão renovados. Como resultado, o balanceador de carga serve um certificado expirado para os clientes, causando erros de certificado para usuários de navegadores e falhas de conexão para clientes de API.
Para evitar falhas na validação de domínio de várias perspectivas devido a registros DNS mal configurados, observe o seguinte:
- Os registros A de DNS (IPv4) e AAAA (IPv6) dos seus domínios e subdomínios apontam apenas para o endereço IP (ou endereços) associado à regra (ou regras) regra de encaminhamento do balanceador de carga. A existência de outros endereços no registro pode causar falha na validação.
- A CA, que realiza a validação de registros DNS, consulta registros DNS de vários locais. Verifique se o provedor de DNS responde de forma consistente a todas as solicitações de validação de domínio global.
- O uso de GeoDNS (retornando endereços IP diferentes com base no local da solicitação) ou políticas de DNS baseadas em local pode gerar respostas inconsistentes e causar falha na validação. Se o provedor de DNS usar o GeoDNS, desative-o ou verifique se todas as regiões retornam o mesmo endereço IP do balanceador de carga.
- Se você estiver usando o método de autorização do balanceador de carga para provisionar certificados gerenciados pelo Google, especifique explicitamente os endereços IP do balanceador de carga na configuração de DNS. Camadas intermediárias, como uma CDN, podem causar um comportamento imprevisível. O endereço IP precisa ser acessível diretamente, sem redirecionamentos, firewalls ou CDNs no caminho da solicitação. Para saber mais, consulte a seção Balanceadores de carga atrás de uma CDN neste documento.
- Recomendamos que você use um verificador de propagação global de DNS de sua escolha para verificar se todos os registros DNS relevantes são resolvidos corretamente e de forma consistente em todo o mundo.
Verificar mudanças de configuração
Depois de configurar os registros DNS, crie um novo certificado e conecte-o ao balanceador de carga junto com o certificado atual para verificar se eles estão corretos. Essa etapa força uma verificação imediata do provisionamento de certificado com a CA, permitindo que você verifique as mudanças de configuração em minutos. Sem isso, as renovações automáticas do certificado atual podem levar dias ou semanas, deixando incertezas sobre sua configuração.
Se o status do certificado mudar para ACTIVE, isso indica que o certificado foi emitido, confirmando que a configuração de DNS está correta. Neste ponto, recomendamos que você remova o certificado anterior
para evitar ter dois certificados separados para o mesmo domínio. Esse processo não interrompe o tráfego para o balanceador de carga.
O novo certificado serve como uma ferramenta de validação. A criação dele confirma que a validação de domínio de várias perspectivas usando MPIC funciona corretamente na sua configuração.
Balanceadores de carga por trás de uma CDN
Para balanceadores de carga com CDN ativada, alguns provedores de CDN de terceiros no caminho de solicitação podem impedir que as solicitações de validação sejam bem-sucedidas. Isso pode acontecer se o provedor de CDN estiver fazendo proxy do tráfego HTTP(S) ativamente.
Nesses casos, recomendamos usar o método de autorização de DNS para provisionar certificados gerenciados pelo Google. A última abordagem não exige que a CA entre em contato com o balanceador de carga.