本頁面由 Cloud Translation API 翻譯而成。

排解憑證管理工具相關問題

本頁說明使用 Certificate Manager 時最常發生的錯誤，並提供診斷及解決這些錯誤的步驟。

傳輸層安全標準 (TLS) (安全資料傳輸層 (SSL)) 憑證相關問題

如要瞭解如何解決 TLS (SSL) 憑證相關問題，請參閱「排解安全資料傳輸層 (SSL) 憑證問題」。

與 Certificate Manager 憑證相關的錯誤

本節說明如何排解與 Google 代管 Certificate Manager 憑證的 authorizationAttemptInfo 欄位相關的錯誤。只有在下列欄位具有這些值時，錯誤才會顯示在「managed.authorizationAttemptInfo.troubleshooting」部分：

managed.authorizationAttemptInfo.state = FAILED
managed.authorizationAttemptInfo.failureReason = CONFIG

如要進一步瞭解錯誤和解決方式，請參閱下表：

錯誤	說明
`CNAME_MISMATCH`	只有在DNS 授權時，如果預期的 `CNAME` 記錄值與已解析的 `CNAME` 記錄值不符，就會發生這個錯誤。如要修正這個問題，請將正確的預期 CNAME 記錄新增至 DNS 設定。詳情請參閱「在 DNS 設定中新增 CNAME 記錄」一節。
`RESOLVED_TO_NOT_SERVING`	如果網域含有指向特定 IP 位址的 DNS `A` 和 `AAAA` 記錄，但憑證未附加至任何負載平衡器，就會發生這項錯誤。這項錯誤僅適用於具有負載平衡器授權的憑證。設定負載平衡器後，您才能使用負載平衡器授權佈建憑證。如要解決這個問題，請更新網域的 DNS A 和 AAAA 記錄，將其指向負載平衡器的 IP 位址。從網域的 DNS `A` 和 `AAAA` 記錄解析出的 IP 位址會儲存在 `ips.resolved` 參數中，而附加這個憑證的負載平衡器 IP 位址則會儲存在 `ips.serving` 參數中。網域的 DNS `A` 和 `AAAA` 記錄必須只指向負載平衡器的 IP 位址。舉例來說，如果 DNS `A` 記錄指向負載平衡器的 IP 位址，但 DNS `AAAA` 記錄指向不同的 IP 位址，就會發生 `RESOLVED_TO_NOT_SERVING` 錯誤。此外，您也必須確保網域的 DNS `A` 和 `AAAA` 記錄在全球各地都能正確且一致地解析。詳情請參閱「多角度網域驗證失敗」一節。
`NO_RESOLVED_IPS`	如果網域不含任何 DNS `A` 和 `AAAA` 記錄，就會發生這項錯誤。這項錯誤僅適用於具有負載平衡器授權的憑證。設定負載平衡器後，您才能使用負載平衡器授權佈建憑證。如要解決這個問題，請為這個網域新增 DNS `A` 和 `AAAA` 記錄，並確保記錄指向目標 HTTPS Proxy 或 Media CDN 邊緣快取服務的 IP 位址。此外，您也必須確保網域的 DNS `A` 和 `AAAA` 記錄在全球各地都能正確且一致地解析。詳情請參閱「多角度網域驗證失敗」一節。
`RESOLVED_TO_SERVING_ON_ALT_PORTS`	如果含有 DNS `A` 和 `AAAA` 記錄的網域指向負載平衡器的 IP 位址 (已附加這個憑證)，但這些 IP 位址上的通訊埠 `443` 未開啟，就會發生這個錯誤。這項錯誤僅適用於具有負載平衡器授權的憑證。設定負載平衡器後，您才能使用負載平衡器授權佈建憑證。如要解決這個問題，請確認負載平衡器已在連接憑證的情況下監聽 `443` 連接埠。`ips.serving_on_alt_ports` 參數會儲存通訊埠 `443` 未開啟的負載平衡器 IP 位址清單。此外，您也必須確保網域的 DNS `A` 和 `AAAA` 記錄在全球各地都能正確且一致地解析。詳情請參閱「多角度網域驗證失敗」一節。
`CERTIFICATE_NOT_ATTACHED`	如果憑證未附加至負載平衡器，就會發生這項錯誤。如要解決這個問題，請確認憑證已附加至負載平衡器。詳情請參閱「將憑證部署至負載平衡器」一節。如果憑證是附加至目標 HTTPS Proxy 的憑證對應表的一部分，但 Proxy 未附加至轉送規則，也會發生這項錯誤。如要解決這個問題，請將目標 HTTPS Proxy 附加至適當的轉送規則。詳情請參閱目標 Proxy 總覽和轉送規則總覽。這項錯誤僅適用於具有負載平衡器授權的憑證。設定負載平衡器後，您才能使用負載平衡器授權佈建憑證。

從目標 Proxy 分離憑證對應時發生錯誤

從目標 Proxy 分離憑證對應檔時，您會收到下列錯誤：

"There must be at least one certificate configured for a target proxy."

如果目標 Proxy 除了您要分離的憑證對應表所指定憑證外，沒有其他指派的憑證，就會發生這個錯誤。如要卸離對應關係，請先將一或多個憑證直接指派給 Proxy。

將憑證對應項目與憑證建立關聯時發生錯誤

將憑證對應關係項目與憑證建立關聯時，您會收到下列錯誤訊息：

"certificate can't be used more than 100 times"

當您嘗試將憑證對應項目與已關聯 100 個憑證對應項目的憑證建立關聯時，就會發生這個錯誤。如要解決這個問題，請按照下列步驟操作：

如果是 Google 代管的憑證，請建立另一個憑證。將新的憑證對應項目與這個新憑證建立關聯，並將新憑證附加至負載平衡器。
如果是自行管理的憑證，請上傳新名稱的憑證。將新的憑證對應項目與這個新憑證建立關聯，並將新憑證附加至負載平衡器。

與 CA 服務執行個體核發的憑證相關的問題

本節列出使用 Certificate Manager 部署 CA Service 執行個體核發的 Google 管理憑證時，可能會遇到的常見錯誤及其可能原因。

如果收到 Failed to create Certificate Issuance Config resources 錯誤訊息，請檢查下列事項：

生命週期。有效憑證生命週期值為 21 至 30 天。
輪替期百分比。有效輪替期百分比為 1% 至 99%。您必須根據憑證效期設定輪替期百分比，確保憑證續約時間至少在憑證核發後 7 天，且至少在憑證到期前 7 天。
金鑰演算法。有效的金鑰演算法值為：RSA_2048 和 ECDSA_P256。
CA 集區。CA 集區不存在或設定有誤。 CA 集區必須至少包含一個已啟用的 CA，且呼叫端必須對目標Google Cloud 專案具有 privateca.capools.use 權限。如果是區域憑證，憑證核發設定資源必須與 CA 集區位於相同位置。

如果收到 Failed to create a managed certificate 錯誤訊息，請檢查下列事項：

您在建立憑證時指定的憑證核發設定資源存在。
呼叫者對建立憑證時指定的憑證核發設定資源，具有 certificatemanager.certissuanceconfigs.use 權限。
憑證與憑證核發設定資源位於相同位置。

如果收到 Failed to renew certificate 或 Failed to provision certificate 錯誤，請檢查下列事項：

憑證管理員服務帳戶對憑證核發設定資源中指定的 CA 集區具有 roles/privateca.certificateRequester 權限，該資源用於此憑證。

使用下列指令檢查目標 CA 集區的權限：
```
gcloud privateca pools get-iam-policy CA_POOL
--location REGION
```
更改下列內容：
- CA_POOL：目標 CA 集區的完整資源路徑和名稱
- REGION：目標 Google Cloud 區域
憑證核發政策已生效。詳情請參閱「與發行政策限制相關的問題」。

與發行政策限制相關的問題

如果憑證管理工具不支援憑證核發政策對憑證所做的變更，憑證佈建作業就會失敗，且受管理憑證的狀態會變更為 Failed。如要解決問題，請確認以下事項：

憑證的身分限制允許主體和主體別名 (SAN) 傳遞。
憑證的生命週期上限限制大於憑證核發設定資源的生命週期。

由於 CA 服務已核發憑證，因此您需要根據 CA 服務定價支付先前問題的費用。

如果收到 Rejected for issuing certificates from the configured CA Pool 錯誤訊息，表示憑證核發政策已封鎖所要求的憑證。如要解決這項錯誤，請檢查下列項目：

憑證的核發模式允許憑證簽署要求 (CSR)。
允許的金鑰類型與所用憑證核發設定資源的金鑰演算法相容。

對於先前的問題，由於 CA 服務尚未核發憑證，因此您不會收到 CA 服務的帳單。

與 IAP 主機名稱比對相關的問題

如果使用憑證管理工具搭配 Identity-Aware Proxy (IAP) 時，意外收到 The host name provided does not match the SSL certificate on the server 錯誤，請檢查您使用的憑證是否適用於該主機名稱。此外，您也可以列出憑證對應項目，這些項目已在憑證對應關係中設定。您打算搭配 IAP 使用的每個主機名稱或萬用字元主機名稱，都必須有專屬項目。如果主機名稱的憑證對應項目遺失，請建立憑證對應項目。

在憑證選取期間，如果要求回退至主要憑證對應項目，IAP 一律會拒絕。

多角度網域驗證失敗

Google Cloud 定期向憑證授權單位 (CA) 申請，以續約 Google 代管憑證。與Google Cloud 合作續購憑證的 CA 會使用多角度網域驗證方法，也就是多角度核發佐證 (MPIC)。在這個過程中，憑證授權單位會檢查網域的 DNS 設定，驗證網域控制權；如果是負載平衡器授權，則會嘗試聯絡網域 IP 位址後方的伺服器。這些驗證會從網路上多個有利位置進行。如果驗證程序失敗，Google 管理的憑證就無法續約。因此，負載平衡器會向用戶端提供過期的憑證，導致瀏覽器使用者遇到憑證錯誤，API 用戶端則會發生連線失敗的問題。

為避免 DNS 記錄設定錯誤導致多角度網域驗證失敗，請注意下列事項：

網域和任何子網域的 DNS A 記錄 (IPv4) 和 DNS AAAA (IPv6) 記錄只能指向與負載平衡器轉送規則相關聯的 IP 位址。記錄中如有任何其他地址，驗證就會失敗。
CA 會驗證 DNS 記錄，並從多個位置查詢 DNS 記錄。請確保 DNS 供應商一律回應所有全球網域驗證要求。
使用 GeoDNS (根據要求位置傳回不同的 IP 位址) 或位置型 DNS 政策可能會導致回應不一致，並造成驗證失敗。如果 DNS 供應商使用 GeoDNS，請停用這項服務，或確保所有區域傳回的負載平衡器 IP 位址相同。
如果您使用負載平衡器授權方法來佈建 Google 代管憑證，則必須在 DNS 設定中明確指定負載平衡器的 IP 位址。CDN 等中繼層可能會導致無法預測的行為。IP 位址必須可直接存取，要求路徑中不得有任何重新導向、防火牆或 CDN。詳情請參閱本文的「CDN 後方的負載平衡器」一節。
建議您使用所選的 DNS 全域傳播檢查工具，確認所有相關 DNS 記錄在全球各地都能正確且一致地解析。

確認設定變更

設定 DNS 記錄後，您可以建立新憑證並將其連線至負載平衡器，連同現有憑證一併驗證是否正確。這個步驟會強制立即向 CA 檢查憑證佈建作業，讓您在幾分鐘內驗證設定變更。否則現有憑證的自動續約作業可能需要數天或數週，導致設定作業充滿不確定性。

如果憑證狀態變成 ACTIVE，表示憑證已核發，因此 DNS 設定正確無誤。此時，建議您移除先前的憑證，以免同一個網域有兩個不同的憑證。這個程序不會中斷負載平衡器的流量。

新憑證可做為驗證工具，確認使用 MPIC 的多角度網域驗證功能可正常運作。

CDN 後方的負載平衡器

如果負載平衡器已啟用 CDN，要求路徑中的部分第三方 CDN 供應商可能會導致驗證要求失敗。如果 CDN 供應商主動代理 HTTP(S) 流量，就可能發生這種情況。

在這種情況下，建議使用 DNS 授權方法，佈建 Google 管理的憑證。後者不需要 CA 與負載平衡器聯絡。