Oracle Cloud Infrastructureドキュメント

証明書の既知の問題

証明書には、既知の問題があります。

Oracle Cloud Infrastructure Object Storageバケットが一杯になると、証明書失効リスト(CRL)のパブリッシュが失敗します

詳細
証明書サービスは、CRLをそのストレージ制限付近にあるオブジェクト・ストレージ・バケットに公開できません。その結果、CRLが正常に公開されるまで、取り消そうとした証明書リソースのライフサイクル状態は「更新中」状態のままになります。
回避策
CRLの公開用に構成したバケットにCRLを格納するために使用可能な領域を保持します。オブジェクト・ストレージの割当てを確認します。オプションで、オブジェクトを削除したり、オブジェクトを別のストレージ層に移動するオブジェクト・ライフサイクル・ポリシーを構成して、バケットがその制限を満たさないようにします。詳細は、オブジェクト・ライフサイクル管理の使用に関する項を参照してください。

キー、ボールト、バケットまたはポリシーがない場合、リソースの取消しは失敗します

詳細
次のいずれかが欠落している場合、証明書サービスで証明書または認証局(CA)を取り消すことはできません:
  • 発行CAの作成に使用したキー
  • 証明書またはCAの作成に使用したキーを含むボールト
  • 証明書失効リスト(CRL)の公開に使用するバケット
  • CRLを公開するバケットにオブジェクトを書き込む権限をサービスに付与するIAMポリシー
キーがない場合、サービスは証明書またはCAを取り消すことができません。バケットまたはバケットへのオブジェクトの書込み権限がない場合、サービスは取り消す内容を指定するCRLを公開できません。
失効が失敗すると、取り消そうとしたリソースは「更新中」状態のままになります。「更新中」状態でスタックしているリソースは、更新も削除もできません。
回避策
回避策は存在しません。この問題を回避するために、推奨されるベスト・プラクティスに従うことができます。証明書とCAの作成に使用する鍵を書き留め、それを失わないように注意してください。証明書サービスでは、このタイプの情報は保持されません。同様に、CAによって使用されているバケットも削除しないでください。最後に、証明書サービスCAによって使用されるバケットへの証明書サービス・アクセスを提供するために保守する必要があるポリシー・ステートメントに注意してください。

キーまたはボールトがない場合、自動更新が失敗する

詳細
次のいずれかが欠落している場合、証明書サービスでは証明書または認証局(CA)を更新できません:
  • 証明書またはCAの作成に使用した鍵
  • 証明書またはCAの作成に使用したキーを含むボールト
発行元認証局(CA)の作成に使用したキー(またはキーを含むボールト)を削除すると、内部管理証明書の自動更新が失敗します。証明書サービスには、証明書に署名するための鍵が必要です。
回避策
回避策は存在しません。証明書とCAの作成に使用する鍵を書き留め、それを失わないように注意してください。証明書サービスでは、このタイプの情報は保持されません。

Terraformを使用した証明書のインポートはサポートされていません

詳細
Terraformを使用して証明書をインポートすることはできません。
回避策
かわりに、コンソール、CLIまたはSDKを使用して証明書をインポートします。

2038年より前に存在するリソースの作成はサポートされていません

詳細
2038年より後に有効になるか失効する証明書サービス・リソースは作成できません。
回避策
解決に努めています。

失敗したリソースの即時削除はサポートされていません

詳細
失敗したライフサイクル状態の証明書サービス・リソースをすぐに削除することはできません。認証局(CA)は、現時点から約7日後に削除できます。証明書の場合、失敗した証明書を削除できる最早は、現在の時刻から約1日です。削除されるまで、失敗したリソースはサービス制限にカウントされます。
回避策
必要に応じて、サービス制限を引き上げるには、サポート・リクエストを開きます。詳細は、サポート・リクエストを参照してください。

現在のルールによってバインドされた既存のリソースが存在する場合、ルールの更新が失敗する可能性があります

詳細
次の2つのことが当てはまる場合、認証局(CA)失効ルールを更新できません:
  • 指定した変更は、すでに適用されているルールよりも制限的です。
  • 使用中の既存のリソースがあり、それらのルールによってバインドされています

たとえば、60日以内に失効するアクティブな下位CAがある場合、親CAの失効ルールを変更して最大有効期間を30日にすることはできません。

回避策
CA失効ルールの変更は、変更後に発行した新しい証明書および新しい下位CAにのみ適用されます。ただし、ルールを更新してより限定的にするには、新しいルールと一致しない証明書サービス・リソースを非アクティブ化または取り消す必要があります。

失敗したリソースの操作が失敗する

詳細
失敗したライフサイクル状態の証明書サービス・リソースでは、特定の操作を実行できません。
回避策
失敗したライフサイクル状態の証明書サービス・リソースで実行できるのは、そのリソースを新しいコンパートメントに移動するか、削除をスケジュールすることです。