Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS.

Diese Seite wurde von der Cloud Translation API übersetzt.

Fehlerbehebung bei SSL-Zertifikaten

Die Schritte zur Fehlerbehebung hängen vom Typ der verwendeten SSL-Zertifikate ab.

Fehlerbehebung bei selbstverwalteten SSL-Zertifikaten

In dieser Anleitung wird beschrieben, wie Sie Probleme mit der Konfiguration selbst verwalteter SSL-Zertifikate beheben können.

Das Zertifikat kann nicht geparst werden

FürTrusted Cloud sind Zertifikate im PEM-Format erforderlich. Wenn das Zertifikat im PEM-Format vorliegt, prüfen Sie Folgendes:

Sie können Ihr Zertifikat mithilfe des folgenden OpenSSL-Befehls validieren. Ersetzen Sie dabei CERTIFICATE_FILE durch den Pfad zu Ihrer Zertifikatsdatei:

openssl x509 -in CERTIFICATE_FILE -text -noout

Wenn OpenSSL Ihr Zertifikat nicht parsen kann:

Wenden Sie sich an Ihre Zertifizierungsstelle, um Hilfe zu erhalten.
Erstellen Sie einen neuen privaten Schlüssel und ein neues Zertifikat.

Fehlender gemeinsamer Name oder alternativer Antragstellername

FürTrusted Cloud muss das Zertifikat entweder einen gemeinsamen Namen (CN) oder einen alternativen Antragstellernamen (SAN) haben. Weitere Informationen finden Sie unter CSR erstellen.

Wenn beide Attribute fehlen, Trusted Cloud wird beim Versuch, ein selbstverwaltetes Zertifikat zu erstellen, die folgende Fehlermeldung angezeigt:

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 -   The SSL certificate is missing a Common Name(CN) or Subject Alternative
   Name(SAN).

Der private Schlüssel kann nicht geparst werden

Trusted Cloud erfordert private Schlüssel im PEM-Format, die die Kriterien für private Schlüssel erfüllen.

Sie können Ihren privaten Schlüssel mit dem folgenden OpenSSL-Befehl validieren. Ersetzen Sie dabei PRIVATE_KEY_FILE durch den Pfad zu Ihrem privaten Schlüssel:

    openssl rsa -in PRIVATE_KEY_FILE -check

Die folgenden Antworten weisen auf ein Problem mit Ihrem privaten Schlüssel hin:

unable to load Private Key
Expecting: ANY PRIVATE KEY
RSA key error: n does not equal p q
RSA key error: d e not congruent to 1
RSA key error: dmp1 not congruent to d
RSA key error: dmq1 not congruent to d
RSA key error: iqmp not inverse of q

Zur Behebung des Problems müssen Sie einen neuen privaten Schlüssel und ein neues Zertifikat erstellen.

Private Schlüssel mit Passphrasen

Wenn Sie von OpenSSL zur Eingabe einer Passphrase aufgefordert werden, müssen Sie die Passphrase aus Ihrem privaten Schlüssel entfernen, bevor Sie sie für Trusted Cloudverwenden können. Sie können den folgenden OpenSSL-Befehl verwenden:

openssl rsa -in PRIVATE_KEY_FILE \
    -out REPLACEMENT_PRIVATE_KEY_FILE

Ersetzen Sie die Platzhalter durch gültige Werte:

PRIVATE_KEY_FILE: Der Pfad zu Ihrem privaten Schlüssel, der mit einer Passphrase geschützt ist
REPLACEMENT_PRIVATE_KEY_FILE: Der Pfad, unter dem Sie eine Kopie Ihres privaten Klartextschlüssels speichern möchten

Ablaufende Zwischenzertifikate

Wenn ein Zwischenzertifikat vor dem (untergeordneten) Serverzertifikat abläuft, könnte dies darauf hindeuten, dass Ihre Zertifizierungsstelle die Best Practices nicht befolgt.

Wenn ein Zwischenzertifikat abläuft, wird Ihr untergeordnetes Zertifikat, das inTrusted Cloud verwendet wird, möglicherweise ungültig. Dies hängt folgendermaßen vom SSL-Client ab:

Einige SSL-Clients betrachten nur die Ablaufzeit des untergeordneten Zertifikats und ignorieren abgelaufene Zwischenzertifikate.
Einige SSL-Clients behandeln eine Kette mit abgelaufenen Zwischenzertifikaten als ungültig und zeigen eine Warnung an.

So beheben Sie das Problem:

Warten Sie, bis die Zertifizierungsstelle zu einem neuen Zwischenzertifikat gewechselt hat.
Fordern Sie ein neues Zertifikat an.
Laden Sie das neue Zertifikat mit den neuen Schlüsseln noch einmal hoch.

Ihre Zertifizierungsstelle lässt möglicherweise auch Quersignaturen für Zwischenzertifikate zu. Wenden Sie sich zur Bestätigung an Ihre Zertifizierungsstelle.

Der öffentliche RSA-Exponent ist zu groß

Die folgende Fehlermeldung wird angezeigt, wenn der öffentliche RSA-Exponent größer ist als Achten Sie darauf, 65537 gemäß RFC 4871 zu verwenden.

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 -   The RSA public exponent is too large.

SSL-Zertifikat vom Zielproxy entfernen

In den folgenden Schritten wird gezeigt, wie Sie ein einzelnes SSL-Zertifikat entfernen, das mit dem Ziel-HTTPS-Proxy verknüpft ist:

Exportieren Sie den target-https-proxy in eine temporäre Datei.

gcloud compute target-https-proxies export TARGET_PROXY_NAME > /tmp/proxy

Bearbeiten Sie die Datei /tmp/proxy und entfernen Sie die folgenden Zeilen:

sslCertificates:
-   https://www.googleapis.com/compute/v1/projects/...

Importieren Sie die Datei /tmp/proxy.

gcloud compute target-https-proxies import TARGET_PROXY_NAME \
   --source=/tmp/proxy

Optional: Löschen Sie das SSL-Zertifikat.

gcloud compute ssl-certificates delete SSL_CERT_NAME

Ersetzen Sie Folgendes:

TARGET_PROXY_NAME ist der Name des HTTPS-Ziel-Proxys.
SSL_CERT_NAME ist der Name des SSL-Zertifikats.