Esta página descreve os erros mais comuns que podem ocorrer ao usar o Certificate Manager. Ela também fornece etapas para diagnosticar e resolver esses erros.
Problemas relacionados a certificados TLS (SSL)
Para receber ajuda com a resolução de problemas relacionados a certificados TLS (SSL), consulte Resolver problemas de certificados SSL.
Erros relacionados a certificados do Certificate Manager
Esta seção fornece informações sobre a solução de problemas relacionados ao campo authorizationAttemptInfo de certificados gerenciados pelo Google do Gerenciador de certificados. Os erros são exibidos na seção managed.authorizationAttemptInfo.troubleshooting somente quando os campos a seguir têm estes valores:
managed.authorizationAttemptInfo.state = FAILEDmanaged.authorizationAttemptInfo.failureReason = CONFIG
Para mais informações sobre os erros e como resolvê-los, consulte a tabela a seguir:
| Erro | Descrição |
|---|---|
CNAME_MISMATCH |
Esse erro ocorre apenas para
autorizações de DNS
quando o valor do
registro CNAME esperado não corresponde ao valor do registro
CNAME resolvido.
Para corrigir esse problema, adicione o registro CNAME esperado à sua configuração de DNS configuração. Para mais informações, consulte a seção Adicionar o registro CNAME à configuração de DNS. |
RESOLVED_TO_NOT_SERVING |
Esse erro ocorre quando o domínio contém registros DNS A e
AAAA que apontam para determinados endereços IP em que o
certificado não está anexado a nenhum balanceador de carga.
O erro se aplica apenas a certificados com autorizações de balanceador de carga. É possível provisionar certificados usando a autorização do balanceador de carga somente depois de configurar o balanceador de carga.
Para resolver esse problema,
atualize os registros DNS A e AAAA do domínio para que apontem para o endereço IP do balanceador de carga. Os endereços IP
resolvidos
dos registros DNS
Os registros DNS
Você também precisa garantir que os registros DNS |
NO_RESOLVED_IPS |
Esse erro ocorre quando o domínio não contém registros DNS A
e AAAA.
O erro se aplica apenas a certificados com autorizações de balanceador de carga. É possível provisionar certificados usando a autorização do balanceador de carga somente depois de configurar o balanceador de carga.
Para resolver esse problema, adicione registros DNS
Você também precisa garantir que os registros DNS |
RESOLVED_TO_SERVING_ON_ALT_PORTS |
Esse erro ocorre quando o domínio que contém registros DNS A e
AAAA aponta para os endereços IP de um balanceador de carga em que
esse certificado está anexado, mas a porta 443
não está aberta nesses endereços IP.
O erro se aplica apenas a certificados com autorizações de balanceador de carga. É possível provisionar certificados usando a autorização do balanceador de carga somente depois de configurar o balanceador de carga.
Para resolver esse problema, verifique se o balanceador de carga com o certificado anexado está escutando na porta
Você também precisa garantir que os registros DNS |
CERTIFICATE_NOT_ATTACHED |
Esse erro ocorre quando o certificado não está anexado a um balanceador de carga. Para resolver esse problema, verifique se o certificado
está anexado a um balanceador de carga. Para mais informações, consulte a
seção Implantar o certificado em um balanceador de carga.
Esse erro também ocorre quando um certificado faz parte de um mapa de certificados anexado a um proxy HTTPS de destino, mas o proxy não está anexado a uma regra de encaminhamento. Para resolver esse problema, anexe o proxy HTTPS de destino à regra de encaminhamento apropriada. Para mais informações, consulte Visão geral dos proxies de destino e Visão geral das regras de encaminhamento. O erro se aplica apenas a certificados com autorizações de balanceador de carga. É possível provisionar certificados usando a autorização do balanceador de carga somente depois de configurar o balanceador de carga. |
Erro ao desanexar um mapa de certificados de um proxy de destino
Ao desanexar um mapa de certificados de um proxy de destino, você recebe o seguinte erro:
"There must be at least one certificate configured for a target proxy."
Esse erro ocorre quando não há certificados atribuídos ao proxy de destino, exceto aqueles especificados no mapa de certificados que você está tentando desanexar. Para desanexar o mapa, primeiro atribua um ou mais certificados diretamente ao proxy.
Erro ao associar um item no mapa de certificados a um certificado
Ao associar um item no mapa de certificados a um certificado, você recebe o seguinte erro:
"certificate can't be used more than 100 times"
Esse erro ocorre quando você tenta associar um item no mapa de certificados a um certificado que já está associado a 100 itens no mapa de certificados. Para resolver o problema, faça o seguinte:
- Para certificados gerenciados pelo Google, crie outro certificado. Associe as novas entradas de mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.
- Para certificados autogerenciados, faça o upload do certificado novamente com um novo nome. Associe as novas entradas de mapa de certificados a esse novo certificado e anexe o novo certificado ao balanceador de carga.
Problemas relacionados a certificados emitidos por uma instância do CA Service
Esta seção lista os erros mais comuns que podem ocorrer ao usar o Gerenciador de certificados para implantar certificados gerenciados pelo Google emitidos pela instância do CA Service e as possíveis causas.
Se você receber o erro Failed to create Certificate Issuance Config resources, verifique o seguinte:
- O ciclo de vida. Os valores válidos do ciclo de vida do certificado são de 21 a 30 dias.
- A porcentagem da janela de rotação. As porcentagens válidas da janela de rotação são de 1 a 99 por cento. Você precisa definir a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.
- O algoritmo de chave. Os valores válidos do algoritmo de chave são:
RSA_2048eECDSA_P256. - O pool de ACs. O pool de ACs não existe ou está configurado incorretamente.
O pool de ACs precisa conter pelo menos uma AC ativada, e o
autor da chamada precisa ter a permissão
privateca.capools.useno projeto de destino Google Cloud . Para certificados regionais, o recurso de configuração de emissão de certificados precisa ser criado no mesmo local que o pool de ACs.
Se você receber um erro Failed to create a managed certificate, verifique o seguinte:
- O recurso de configuração de emissão de certificados especificado ao criar o certificado existe.
- O autor da chamada tem a permissão
certificatemanager.certissuanceconfigs.useno recurso de configuração de emissão de certificados especificado ao criar o certificado. - O certificado está no mesmo local que o recurso de configuração de emissão de certificados.
Se você receber um erro Failed to renew certificate ou Failed to provision
certificate, verifique o seguinte:
A conta de serviço do Certificate Manager tem a permissão
roles/privateca.certificateRequesterno pool de ACs especificado no recurso de configuração de emissão de certificados usado para esse certificado.Use o comando a seguir para verificar as permissões no pool de ACs de destino:
gcloud privateca pools get-iam-policy CA_POOL --location REGION
Substitua:
CA_POOL: o caminho completo do recurso e o nome do pool de ACs de destinoREGION: o target Google Cloud region
Uma política de emissão está em vigor. Para mais informações, consulte Problemas relacionados a política de emissão restrições.
Problemas relacionados a restrições de política de emissão
Se o Gerenciador de certificados não oferecer suporte às mudanças feitas em um certificado pela política de emissão de certificados, o provisionamento de certificados falhará e o estado do certificado gerenciado será alterado para Failed. Para resolver o problema, confirme o seguinte:
- As restrições de identidade do certificado permitem a passagem do assunto e do nome alternativo do assunto (SAN, na sigla em inglês) .
- A restrição de ciclo de vida máximo do certificado é maior que o ciclo de vida do recurso de configuração de emissão de certificados.
Para os problemas anteriores, como o CA Service já emitiu o certificado, você será cobrado de acordo com os preços do CA Service.
Se você receber o erro Rejected for issuing certificates from the configured
CA Pool, isso indica que a política de emissão de certificados bloqueou o
certificado solicitado. Para resolver o erro, verifique o seguinte:
- O modo de emissão do certificado permite solicitações de assinatura de certificado (CSRs).
- Os tipos de chave permitidos são compatíveis com o algoritmo de chave do recurso de configuração de emissão de certificados que está sendo usado.
Para os problemas anteriores, como o CA Service não emitiu o certificado, você não será cobrado pelo CA Service.
Problemas relacionados à correspondência de nome do host do IAP
Se você receber inesperadamente o erro The host name provided does not match the
SSL certificate on the server ao usar o Certificate Manager com Identity-Aware Proxy (IAP), verifique se você está usando um certificado que é válido para esse nome do host. Liste também as entradas de mapa de certificados
que você configurou no mapa de certificados. Cada nome do host ou nome do host curinga que você pretende usar com o IAP precisa ter uma entrada dedicada. Se o item no mapa de certificados para o nome do host estiver ausente, crie um item no mapa de certificados.
As solicitações que retornam ao item no mapa de certificados principal durante a seleção de certificados são sempre rejeitadas pelo IAP.
Falhas de validação de domínio de várias perspectivas
Google Cloud renova periodicamente os certificados gerenciados pelo Google solicitando-os de autoridades certificadoras (ACs). As ACs que Google Cloud trabalham com para renovar seus certificados usam um método de validação de domínio de várias perspectivas conhecido como Corroboração de emissão de várias perspectivas (MPIC, na sigla em inglês). Como parte desse processo, as autoridades certificadoras verificam o controle de domínio verificando as configurações de DNS do domínio e, no caso de autorização do balanceador de carga, tentando entrar em contato com o servidor por trás do endereço IP do domínio. Essas verificações são realizadas em vários pontos de vantagem na Internet. Se o processo de validação falhar, os certificados gerenciados pelo Google não serão renovados. Como resultado, o balanceador de carga veicula um certificado expirado para os clientes, fazendo com que os usuários do navegador encontrem erros de certificado e os clientes da API tenham falhas de conexão.
Para evitar falhas de validação de domínio de várias perspectivas para registros DNS configurados incorretamente, observe o seguinte:
- Os registros DNS A (IPv4) e DNS AAAA (IPv6) dos seus domínios e subdomínios apontam apenas para o endereço IP (ou endereços) associado à regra (ou regras) de regra de encaminhamento do balanceador de carga. A existência de outros endereços no registro pode causar falha na validação.
- A AC, que realiza a validação de registros DNS, consulta registros DNS de vários locais. Verifique se o provedor de DNS responde de forma consistente a todas as solicitações globais de validação de domínio.
- O uso do GeoDNS (retornando endereços IP diferentes com base no local da solicitação) ou políticas de DNS baseadas em local podem levar a respostas inconsistentes e causar falha na validação. Se o provedor de DNS usar o GeoDNS, desative-o, ou verifique se todas as regiões retornam o mesmo endereço IP do balanceador de carga.
- Se você estiver usando o método de autorização do balanceador de carga para provisionar certificados gerenciados pelo Google, especifique explicitamente os endereços IP do balanceador de carga na configuração de DNS. As camadas intermediárias, como uma CDN, podem causar um comportamento imprevisível. O endereço IP precisa ser acessível diretamente, sem redirecionamentos, firewalls ou CDNs no caminho da solicitação. Para saber mais, consulte a seção Balanceadores de carga por trás de uma CDN neste documento.
- Recomendamos que você use um verificador de propagação global de DNS de sua escolha para verificar se todos os registros DNS relevantes são resolvidos corretamente e de forma consistente em todo o mundo.
Verificar mudanças de configuração
Depois de configurar os registros DNS, você pode verificar se eles estão corretos criando um novo certificado e conectando-o ao balanceador de carga junto com o certificado atual. Essa etapa força uma verificação imediata do provisionamento de certificados com a AC, permitindo que você verifique as mudanças de configuração em minutos. Sem isso, as renovações automáticas do certificado atual podem levar dias ou semanas, deixando incertezas sobre a configuração.
Se o status do certificado se tornar ACTIVE, isso indica que
o certificado foi emitido, confirmando que a configuração de DNS
está correta. Nesse momento, recomendamos que você remova o certificado anterior para evitar ter dois certificados separados para o mesmo domínio. Esse processo não interrompe o tráfego para o balanceador de carga.
O novo certificado serve como uma ferramenta de validação. A criação dele confirma que a validação de domínio de várias perspectivas usando o MPIC funciona corretamente para sua configuração.
Balanceadores de carga por trás de uma CDN
Para balanceadores de carga com a CDN ativada, alguns provedores de CDN de terceiros no caminho da solicitação podem impedir o sucesso de solicitações de validação. Isso pode acontecer se o provedor de CDN estiver fazendo proxy do tráfego HTTP(S) ativamente.
Nesses casos, recomendamos o uso do método de autorização de DNS para provisionar certificados gerenciados pelo Google. Essa abordagem não exige que a AC entre em contato com o balanceador de carga.