En esta página, se muestra cómo resolver los problemas de emisión de certificados que pueden ocurrir cuando emites y adjuntas certificados SSL (TLS) o aprovisionas certificados con autorizaciones de DNS.
Solucionar problemas relacionados con la emisión de certificados
La causa más común de que no se complete la emisión (o renovación) es la falta o la invalidez de los registros DNS, lo que impide que el Administrador de certificados valide la propiedad del dominio.
- Verifica que se pueda acceder al registro DNS a través del DNS público. El valor del registro CNAME
_acme-challenge
(se requiere el guion bajo) para tu dominio debe mostrar el valor proporcionado en eldnsResourceRecord.data
de cuando creaste la autorización. Puedes usar el DNS público de Google para verificar rápidamente que el registro se pueda resolver y sea válido. - Asegúrate de que los dominios para los que solicitas certificados coincidan con las autorizaciones que asocias con la solicitud de certificado o sean subdominios de ellas. Por ejemplo, una autorización para
media.example.com
te permite emitir certificados paramedia.example.com
,uk.media.example.com
ystaging.media.example.com
, pero no parawww.example.com
. - Es posible que los registros de CAA existentes en tu
dominio impidan que el Administrador de certificados emita certificados para
tu dominio. Debes asegurarte de que haya un registro CAA para
pki.goog
para permitir que Google emita certificados para tus dominios autorizados. Si el problema se debe a una restricción de registro CAA, el campofailure_reason
en la respuesta de la API contiene un valor deCAA
. - Solo puedes adjuntar certificados con el alcance
EDGE_CACHE
a un servicio de caché perimetral. Si no especificaste explícitamente un permiso deEDGE_CACHE
cuando creaste el certificado, debes volver a emitirlo con una autorización de DNS existente.
Cuando creas un certificado con varios nombres de dominio, cualquier autorización de dominio no válida impide que se emita o renueve el certificado. Esto garantiza que todos los dominios solicitados se incluyan en el certificado emitido. Asegúrate de que el registro DNS, el nombre de dominio y la configuración del registro CAA sean válidos para cada uno de los dominios asociados con un certificado.
Motivo de la falla
En la siguiente tabla, se describen los motivos de fallas que se pueden mostrar cuando se intenta emitir un certificado, sus causas y las correcciones sugeridas:
Tipo | Error | Pasos para solucionar problemas |
---|---|---|
Autorización de DNS | CONFIG | No pudimos validar el certificado a través del DNS. En la mayoría de los casos, esto significa que falta el registro DNS, no es válido (se copió de forma incorrecta) o estás intentando emitir un certificado para un subdominio que no es secundario del dominio autorizado. |
Autorización de DNS | CAA | El conjunto actual de [registros de CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) asociados con el dominio prohíbe la emisión de certificados, o bien es posible que el registro de CAA se haya actualizado recientemente. |
Autorización de DNS | RATE_LIMITED | (No es común) Es posible que estés emitiendo certificados a una velocidad más rápida que la que acepta la AC o el dominio (por ejemplo, decenas por minuto o más). |
Certificado | AUTHORIZATION_ISSUE | No se pudo autorizar el dominio individual. Verifica el valor de managed.authorizationAttemptInfo.failureReason para el dominio para comprender por qué pudo fallar la autorización. |
¿Qué sigue?
- Lee Cómo configurar certificados SSL.
- Comprende la conectividad del cliente y la compatibilidad con los protocolos.
- Revisa cómo se establecen las conexiones de SSL (TLS) con tus orígenes.