Esta página mostra como resolver possíveis problemas de emissão de certificados quando você emitir e anexar certificados SSL (TLS), ou provisionar certificados com autorizações de DNS.
Resolver problemas de emissão de certificados
A causa mais comum de falhas na emissão (ou renovação) é a falha na emissão registros DNS ausentes, que impedem o Gerenciador de certificados de e validar a propriedade do domínio.
- Verifique se o registro DNS pode ser acessado pelo DNS público. O valor de
o registro CNAME
_acme-challenge(o sublinhado é obrigatório) para sua deve retornar o valor fornecido no campodnsResourceRecord.datado momento em que você criou a autorização. Você pode usar o Google Public DNS, para verificar rapidamente se o registro foi resolvíveis e válidos. - Verifique se os domínios para os quais você está solicitando certificados
correspondem ou são subdomínios das autorizações às quais você está associando
a solicitação de certificado. Por exemplo, uma autorização para
media.example.compermite que você emita certificados paramedia.example.com,uk.media.example.comestaging.media.example.com, mas nãowww.example.com. - Registros CAA existentes na sua
domínio pode impedir que o Gerenciador de certificados emita certificados para
seu domínio. Verifique se há um registro CAA para
pki.googpara permitir que o Google emita certificados para seus domínios autorizados. Se o problema for devido a uma restrição de registro CAA, o campofailure_reasonna resposta da API contém um valor deCAA. - Só é possível anexar certificados com o escopo
EDGE_CACHEa um Edge Serviço de cache. Se você não especificou explicitamente um escopo deEDGE_CACHEao criá-lo, será necessário emiti-lo novamente usando uma autorização DNS atual.
Ao criar um certificado com vários nomes de domínio, qualquer domínio inválido impede que o certificado seja emitido ou renovado. Isso garante a inclusão de todos os domínios solicitados no certificado emitido. Confirme se o registro DNS, o nome de domínio e a configuração do registro CAA estão válidos para cada um dos domínios associados a um certificado.
Motivos de falha
A tabela a seguir descreve os motivos de falha que podem ser retornados quando tentativa de emitir um certificado, suas causas e correções sugeridas:
| Tipo | Erro | Etapas de solução de problemas |
|---|---|---|
| Autorização de DNS | CONFIG | Não foi possível validar o certificado via DNS. Na maioria dos casos, significa que o registro DNS está ausente, é inválido (copiado incorretamente) ou você está tentando emitir um certificado para um subdomínio que não é um filho do domínio autorizado. |
| Autorização de DNS | CAA | A emissão de certificados é proibida pelo conjunto atual de [Registros CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associados ao domínio ou ao registro CAA pode ter acabado de atualizado. |
| Autorização de DNS | RATE_LIMITED | (Incomum) Você está emitindo certificados a uma taxa mais rápida do que a aceita pela AC ou pelo domínio (por exemplo, dezenas por minuto ou mais). |
| Certificado | AUTHORIZATION_ISSUE | Falha na autorização do domínio individual. Verifique o valor de managed.authorizationAttemptInfo.failureReason para a para entender por que a autorização falhou. |
A seguir
- Leia Configurar certificados SSL.
- Entenda a conectividade do cliente e suporte ao protocolo.
- Analise como as conexões SSL (TLS) são feitas às suas origens.