Questa pagina mostra come risolvere i problemi di emissione dei certificati che potrebbero verificarsi quando emettere e allegare i certificati SSL (TLS), o eseguire il provisioning di certificati con autorizzazioni DNS.
Risolvere i problemi di emissione dei certificati
La causa più comune di un'emissione (o di un rinnovo) non riuscita è un errore record DNS mancanti, che impediscono a Gestore certificati di e la convalida della proprietà del dominio.
- Verifica che il record DNS possa essere raggiunto tramite DNS pubblico. Il valore di
il record CNAME
_acme-challenge
(il trattino basso è obbligatorio) per dominio deve restituire il valore specificato indnsResourceRecord.data
dalla data di creazione dell'autorizzazione. Puoi utilizzare Google Public DNS per verificare rapidamente che il record sia risolvibili e valide. - Assicurati che i domini per i quali richiedi certificati
corrispondono o sono sottodomini delle autorizzazioni che stai associando
la richiesta di certificato. Ad esempio, un'autorizzazione per
media.example.com
ti consente di emettere certificati permedia.example.com
,uk.media.example.com
estaging.media.example.com
, ma nonwww.example.com
. - Record CAA esistenti nel tuo
potrebbe impedire a Certificate Manager di emettere certificati per
il tuo dominio. Devi assicurarti che sia presente un record CAA
pki.goog
per consentire a Google di emettere certificati per i tuoi domini autorizzati. Se il problema è dovuto a una limitazione del record CAA, il campofailure_reason
nella risposta dell'API contiene il valoreCAA
. - Puoi collegare solo certificati con ambito
EDGE_CACHE
a un perimetro Servizio cache. Se non hai specificato esplicitamente un ambito diEDGE_CACHE
quando lo crei, devi emetterlo nuovamente utilizzando un'autorizzazione DNS esistente.
Quando crei un certificato con più nomi di dominio, qualsiasi dominio non valido l'autorizzazione impedisce l'emissione o il rinnovo del certificato. Ciò garantisce che tutti i domini richiesti siano inclusi nel certificato emesso. Assicurati che il record DNS, il nome di dominio e la configurazione del record CAA siano valida per ciascuno dei domini associati a un certificato.
Motivi dell'errore
La tabella seguente descrive i motivi di errore che potrebbero essere restituiti quando tentativo di emettere un certificato, le relative cause e le soluzioni suggerite:
Tipo | Errore | Procedura di risoluzione dei problemi |
---|---|---|
Autorizzazione DNS | CONFIGURA | Non è stato possibile convalidare il certificato tramite DNS. Nella maggior parte dei casi, significa che il record DNS è mancante, non valido (copiato erroneamente) o stai tentando di emettere un certificato per un sottodominio che non è un figlio del dominio autorizzato. |
Autorizzazione DNS | CAA | L'emissione di certificati è vietata dall'insieme corrente di [Record CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associati al dominio o al record CAA potrebbero essere stati aggiornato. |
Autorizzazione DNS | RATE_LIMITED | (Insolito) La velocità di emissione dei certificati potrebbe essere più rapida di quella accettata dall'autorità di certificazione o dal dominio (ad esempio, decine o più al minuto). |
Certificato | AUTHORIZATION_ISSUE | L'autorizzazione del singolo dominio non è riuscita. Verifica il valore di managed.authorizationAttemptInfo.failureReason per il valore dominio per capire il motivo per cui l'autorizzazione potrebbe non essere riuscita. |
Passaggi successivi
- Leggi Configurare i certificati SSL.
- Comprendere la connettività dei client e il supporto del protocollo.
- Esaminare come vengono stabilite le connessioni SSL (TLS) alle tue origini.