Esta página mostra como resolver problemas de emissão de certificados que podem ocorrer ao emitir e anexar certificados SSL (TLS) ou provisionar certificados com autorizações de DNS.
Resolver problemas de emissão de certificados
A causa mais comum de falha na emissão (ou renovação) é devido a registros DNS inválidos ou ausentes, que impedem que o Certificate Manager valide a propriedade do domínio.
- Verifique se o registro DNS pode ser acessado pelo DNS público. O valor do registro CNAME
_acme-challenge(o sublinhado é obrigatório) do seu domínio precisa retornar o valor fornecido nodnsResourceRecord.datade quando você criou a autorização. É possível usar o DNS público do Google para verificar rapidamente se o registro é resolúvel e válido. - Verifique se os domínios para os quais você está solicitando certificados
correspondem ou são subdomínios das autorizações que você está associando à
solicitação de certificado. Por exemplo, uma autorização para
media.example.compermite emitir certificados paramedia.example.com,uk.media.example.comestaging.media.example.com, mas nãowww.example.com. - Os registros CAA atuais no seu
domínio podem impedir que o Gerenciador de certificados emita certificados para
ele. Verifique se há um registro CAA para
pki.googpara permitir que o Google emita certificados para seus domínios autorizados. Se o problema for devido a uma restrição de registro CAA, o campofailure_reasonna resposta da API conterá um valor deCAA. - Só é possível anexar certificados com escopo
EDGE_CACHEa um serviço de cache do Edge. Se você não especificou explicitamente um escopo deEDGE_CACHEao criar o certificado, será necessário emiti-lo novamente usando uma autorização de DNS existente.
Ao criar um certificado com vários nomes de domínio, qualquer autorização de domínio inválida impede que o certificado seja emitido ou renovado. Isso garante que todos os domínios solicitados sejam incluídos no certificado emitido. Verifique se o registro DNS, o nome de domínio e a configuração do registro CAA são válidos para cada um dos domínios associados a um certificado.
Motivos de falha
A tabela a seguir descreve os motivos de falha que podem ser retornados ao tentar emitir um certificado, as causas e as correções sugeridas:
| Tipo | Erro | Etapas para a solução de problemas |
|---|---|---|
| Autorização de DNS | CONFIG | Não foi possível validar o certificado pelo DNS. Na maioria dos casos, isso significa que o registro DNS está ausente, é inválido (copiado incorretamente) ou você está tentando emitir um certificado para um subdomínio que não é filho do domínio autorizado. |
| Autorização de DNS | CAA | A emissão de certificados é proibida pelo conjunto atual de [registros CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associados ao domínio ou o registro CAA pode ter sido atualizado. |
| Autorização de DNS | RATE_LIMITED | (Incomum) Você pode estar emitindo certificados a uma taxa mais rápida do que a aceita pela AC ou pelo domínio (por exemplo, dezenas por minuto ou mais). |
| Certificado | AUTHORIZATION_ISSUE | O domínio individual falhou na autorização. Verifique o valor de managed.authorizationAttemptInfo.failureReason para o domínio para entender por que a autorização pode ter falhado. |
A seguir
- Leia Configurar certificados SSL.
- Entenda a conexão do cliente e o suporte a protocolos.
- Confira como as conexões SSL (TLS) são feitas para suas origens.