Documentación de Oracle Cloud Infrastructure

Problemas conocidos de los certificados

Se han identificado incidencias conocidas en Certificates.

La publicación de la lista de revocación de certificados (CRL) falla cuando el cubo de Oracle Cloud Infrastructure Object Storage está completo

Detalles
El servicio Certificates no puede publicar una CRL en un cubo de Object Storage que esté en sus límites de almacenamiento o cerca de ellos. Como resultado, cualquier recurso de certificados que haya intentado revocar sigue siendo válido hasta que la CRL se publique correctamente. El estado del ciclo de vida del recurso pasa de un estado 'Actualizando' a 'Activo' para que pueda realizar otras acciones en el recurso, según sea necesario.
Solución Alternativa
Mantenga el espacio disponible para almacenar la CRL en el cubo que ha configurado para publicar las CRL. Compruebe las cuotas de Object Storage. También puede configurar una política de ciclo de vida de objetos para suprimir objetos o mover objetos a otro nivel de almacenamiento a fin de evitar que el bloque cumpla sus límites. Para obtener más información, consulte Uso de gestión de ciclo de vida de objetos.

La revocación de recursos falla cuando faltan la clave, el almacén, el cubo o las políticas

Detalles
El servicio Certificates no puede revocar certificados o autoridades de certificación (CA) cuando falta alguno de los siguientes elementos:
  • la clave que ha utilizado para crear la CA emisora
  • el almacén que contiene la clave que ha utilizado para crear el certificado o la CA
  • el cubo que utiliza para publicar la lista de revocación de certificados (CRL)
  • política de IAM que otorga al servicio permiso para escribir objetos en el cubo en el que publica CRL
Sin la clave, el servicio no puede revocar el certificado ni la CA. Sin el cubo ni los permisos para escribir objetos en el cubo, el servicio no puede publicar la CRL que especifica lo que desea revocar.
Cuando falla la revocación, el recurso que ha intentado revocar sigue siendo válido. El estado del ciclo de vida del recurso pasa de un estado 'Actualizando' a un estado 'Activo' para que pueda realizar otras acciones en el recurso, según sea necesario.
Solución Alternativa
No existe ninguna solución alternativa. Para ayudar a evitar este problema, puede seguir algunas prácticas recomendadas. Tenga en cuenta las claves que utiliza para crear certificados y CA y, a continuación, tenga cuidado de no perderlos. El servicio Certificados no mantiene este tipo de información para usted. Del mismo modo, tenga en cuenta los cubos que utilizan las autoridades de certificación y no los suprima tampoco. Por último, tenga en cuenta las sentencias de política que debe mantener para proporcionar al servicio Certificates acceso a los cubos utilizados por las autoridades de certificación del servicio Certificates.

La renovación automática falla cuando falta la clave o el almacén

Detalles
El servicio Certificates no puede renovar certificados ni autoridades de certificación (CA) cuando falta alguna de las siguientes opciones:
  • la clave que ha utilizado para crear el certificado o la CA
  • el almacén que contiene la clave que ha utilizado para crear el certificado o la CA
La renovación automática de un certificado gestionado internamente falla si suprimió la clave (o el almacén que contenía la clave) que utilizó para crear la autoridad de certificación (CA) emisora. El servicio Certificates necesita la clave con la que firmar los certificados.
Solución Alternativa
No hay ninguna solución provisional. Tenga en cuenta las claves que utiliza para crear certificados y CA y, a continuación, tenga cuidado de no perderlas. El servicio Certificates no mantiene este tipo de información para usted.

No está soportada la importación de certificados con Terraform

Detalles
No puede importar un certificado mediante Terraform.
Solución Alternativa
En su lugar, importe un certificado mediante la consola, la CLI o el SDK.

No se admite la creación de recursos que existan después del año 2038.

Detalles
No puede crear recursos del servicio Certificates que sean válidos o caduquen después del año 2038.
Solución Alternativa
Estamos intentando solucionar este problema.

No se admite la supresión inmediata de recursos con fallos

Detalles
No puede suprimir inmediatamente los recursos del servicio Certificates en un estado de ciclo de vida con fallos. Como muy pronto, puede suprimir una autoridad de certificación (CA) unos 7 días a partir de la hora actual. Para los certificados, lo antes posible para suprimir un certificado con fallos es aproximadamente 1 día a partir de la hora actual. Hasta que no se supriman, los recursos fallidos cuentan según los límites de servicio.
Solución Alternativa
Si es necesario, para aumentar los límites de servicio, abra una solicitud de soporte. Para obtener más información, consulte Support Requests.

La actualización de reglas puede fallar cuando existen recursos existentes enlazados por reglas actuales

Detalles
No puede actualizar las reglas de caducidad de la autoridad de certificación (CA) si se cumplen las dos condiciones siguientes:
  • los cambios que especifique son más restrictivos que las reglas que ya existen
  • tiene recursos existentes en uso que están enlazados por esas reglas

Por ejemplo, si tiene una CA subordinada activa que caduca en 60 días, no puede cambiar la regla de caducidad de su CA principal para que la duración máxima de validez sea de 30 días.

Solución Alternativa
Los cambios en las reglas de caducidad de las autoridades de certificación solo se aplican a nuevos certificados y nuevas autoridades de certificación subordinadas que se emiten después de realizar los cambios. Sin embargo, antes de actualizar las reglas para que sean más restrictivas, debe desactivar o revocar los recursos del servicio Certificates que no estén alineados con las nuevas reglas.

Fallo de operaciones para recursos fallidos

Detalles
No puede realizar determinadas operaciones en los recursos del servicio Certificates con un estado de ciclo de vida fallido.
Solución Alternativa
Lo único que puede hacer con un recurso de servicio Certificates con un estado de ciclo de vida fallido es moverlo a un nuevo compartimento o programarlo para su supresión.