Cette page explique comment résoudre les problèmes d'émission de certificats qui peuvent survenir lorsque vous émettez et joignez des certificats SSL (TLS) ou lorsque vous provisionnez des certificats avec des autorisations DNS.
Résoudre les problèmes d'émission de certificats
La cause la plus courante d'échec de l'émission (ou du renouvellement) est l'absence d'enregistrements DNS non valides ou manquants, ce qui empêche le gestionnaire de certificats de valider la propriété du domaine.
- Vérifiez que l'enregistrement DNS est accessible via le DNS public. La valeur de l'enregistrement CNAME
_acme-challenge(le trait de soulignement est requis) pour votre domaine doit renvoyer la valeur fournie dansdnsResourceRecord.dataau moment de la création de l'autorisation. Vous pouvez utiliser le DNS public de Google pour vérifier rapidement que l'enregistrement peut être résolu et est bien valide. - Assurez-vous que les domaines pour lesquels vous demandez des certificats correspondent bien aux autorisations (ou sont des sous-domaines) que vous associez à la requête de certificat. Par exemple, une autorisation pour
media.example.comvous permet d'émettre des certificats pourmedia.example.com,uk.media.example.cometstaging.media.example.com, mais pas pourwww.example.com. - Les enregistrements CAA existants sur votre domaine peuvent empêcher le gestionnaire de certificats d'émettre des certificats pour votre domaine. Vous devez vous assurer qu'il existe un enregistrement CAA pour
pki.googafin de permettre à Google de délivrer des certificats pour vos domaines autorisés. Si le problème est dû à une restriction d'enregistrement CAA, le champfailure_reasonde la réponse d'API contient la valeurCAA. - Vous ne pouvez associer que des certificats dont le champ d'application est
EDGE_CACHEà un service de cache périphérique. Si vous n'avez pas spécifié explicitement un champ d'applicationEDGE_CACHElors de la création du certificat, vous devez émettre à nouveau le certificat en utilisant une autorisation DNS existante.
Lors de la création d'un certificat avec plusieurs noms de domaine, toute autorisation de domaine non valide empêche l'émission ou le renouvellement du certificat. Cela garantit que tous les domaines demandés sont inclus dans le certificat émis. Assurez-vous que la configuration des enregistrements DNS, du nom de domaine et des enregistrements CAA est valide pour chacun des domaines associés à un certificat.
Motifs d'échec
Le tableau suivant décrit les motifs d'échec pouvant être renvoyés lors de la tentative d'émission d'un certificat et leurs causes, et fournit des suggestions de solutions :
| Type | Erreur | Procédure de dépannage |
|---|---|---|
| Autorisation DNS | CONFIG | Nous n'avons pas pu valider le certificat via DNS. Dans la plupart des cas, cela signifie que l'enregistrement DNS est manquant ou non valide (incorrectement copié), ou que vous essayez d'émettre un certificat pour un sous-domaine qui n'est pas un enfant du domaine autorisé. |
| Autorisation DNS | CAA | L'émission d'un certificat est interdite par l'ensemble actuel d'enregistrements CAA [CAA records](/media-cdn/docs/ssl-cerificates#caa-records-roots) associés au domaine. Il est également possible que l'enregistrement CAA ait été mis à jour très récemment. |
| Autorisation DNS | RATE_LIMITED | (Inhabituel) Vous émettez peut-être des certificats à une vitesse supérieure à celle acceptée par l'autorité de certification ou le domaine (par exemple, des dizaines par minute ou plus). |
| Certificate | AUTHORIZATION_ISSUE | L'autorisation du domaine individuel a échoué. Vérifiez la valeur de managed.authorizationAttemptInfo.failureReason pour le domaine afin de comprendre pourquoi l'autorisation a échoué. |
Étapes suivantes
- Consultez la section Configurer des certificats SSL.
- Assurez-vous de bien comprendre la connectivité client et la compatibilité des protocoles.
- Examinez la façon dont les connexions SSL (TLS) sont établies pour vos origines.