Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS. Per ulteriori dettagli, consulta la sezione Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Risoluzione dei problemi relativi ai certificati SSL

Le procedure per la risoluzione dei problemi dipendono dal tipo di certificati SSL utilizzati.

Risolvere i problemi relativi ai certificati SSL autogestiti

Questa guida descrive come risolvere i problemi di configurazione per i certificati SSL autogestiti.

Impossibile analizzare il certificato

Trusted Cloud richiede certificati in formato PEM. Se il certificato è in formato PEM, controlla quanto segue:

Puoi convalidare il certificato utilizzando il seguente comando OpenSSL, sostituendo CERTIFICATE_FILE con il percorso del file del certificato:

openssl x509 -in CERTIFICATE_FILE -text -noout

Se OpenSSL non riesce ad analizzare il certificato:

Contatta la CA per ricevere assistenza.
Crea una nuova chiave privata e un nuovo certificato.

Nome comune o nome alternativo del soggetto mancante

Trusted Cloud richiede che il certificato abbia un attributo nome comune (CN) o nome alternativo del soggetto (SAN). Per ulteriori informazioni, vedi Creare una richiesta di firma del certificato.

Quando entrambi gli attributi sono assenti, Trusted Cloud visualizza un messaggio di errore come il seguente quando tenti di creare un certificato autogestito:

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 -   The SSL certificate is missing a Common Name(CN) or Subject Alternative
   Name(SAN).

Impossibile analizzare la chiave privata

Trusted Cloud richiede chiavi private in formato PEM che soddisfino i criteri della chiave privata.

Puoi convalidare la chiave privata utilizzando il seguente comando OpenSSL, sostituendo PRIVATE_KEY_FILE con il percorso della chiave privata:

    openssl rsa -in PRIVATE_KEY_FILE -check

Le seguenti risposte indicano un problema con la chiave privata:

unable to load Private Key
Expecting: ANY PRIVATE KEY
RSA key error: n does not equal p q
RSA key error: d e not congruent to 1
RSA key error: dmp1 not congruent to d
RSA key error: dmq1 not congruent to d
RSA key error: iqmp not inverse of q

Per risolvere il problema, devi creare una nuova chiave privata e un nuovo certificato.

Chiavi private con passphrase

Se OpenSSL richiede una passphrase, dovrai rimuoverla dalla chiave privata prima di poterla utilizzare con Trusted Cloud. Puoi utilizzare il seguente comando OpenSSL:

openssl rsa -in PRIVATE_KEY_FILE \
    -out REPLACEMENT_PRIVATE_KEY_FILE

Sostituisci i segnaposto con valori validi:

PRIVATE_KEY_FILE: il percorso della chiave privata protetta con una passphrase
REPLACEMENT_PRIVATE_KEY_FILE: il percorso in cui vuoi salvare una copia della chiave privata in formato di testo normale

Certificati intermedi in scadenza

Se un certificato intermedio scade prima del certificato server (foglia), potrebbe significare che la tua CA non segue le best practice.

Quando un certificato intermedio scade, il certificato foglia utilizzato in Trusted Cloud potrebbe non essere più valido. Dipende dal client SSL, come segue:

Alcuni client SSL esaminano solo la data di scadenza del certificato foglia e ignorano i certificati intermedi scaduti.
Alcuni client SSL considerano una catena con uno o più certificati intermedi scaduti non valida e mostrano un avviso.

Per risolvere il problema:

Attendi che la CA passi a un nuovo certificato intermedio.
Richiedi un nuovo certificato.
Carica di nuovo il nuovo certificato con le nuove chiavi.

La tua CA potrebbe anche consentire la firma incrociata per i certificati intermedi. Verifica con il tuo CA per confermare.

L'esponente pubblico RSA è troppo grande

Il seguente messaggio di errore viene visualizzato quando l'esponente pubblico RSA è maggiore di 65537. Assicurati di utilizzare 65537, come specificato nella RFC 4871.

ERROR: (gcloud.compute.ssl-certificates.create) Could not fetch resource:
 -   The RSA public exponent is too large.

Rimuovi il certificato SSL da target-proxy

I passaggi che seguono mostrano come rimuovere un singolo certificato SSL collegato al proxy https di destinazione:

Esporta il proxy HTTPS di destinazione in un file temporaneo.

gcloud compute target-https-proxies export TARGET_PROXY_NAME > /tmp/proxy

Modifica il file /tmp/proxy e rimuovi le seguenti righe:

sslCertificates:
-   https://www.googleapis.com/compute/v1/projects/...

Importa il file /tmp/proxy.

gcloud compute target-https-proxies import TARGET_PROXY_NAME \
   --source=/tmp/proxy

(Facoltativo) Elimina il certificato SSL.

gcloud compute ssl-certificates delete SSL_CERT_NAME

Sostituisci quanto segue:

TARGET_PROXY_NAME: il nome della risorsa proxy https di destinazione.
SSL_CERT_NAME: il nome del certificato SSL.