本页面介绍了如何解决可能出现的证书颁发问题 当你 颁发并附加 SSL (TLS) 证书, 或通过 DNS 授权配置证书。
排查证书颁发问题
导致颁发(或续订)失败的最常见原因是 DNS 记录缺失,导致证书管理器无法 验证网域所有权。
- 检查是否可以通过公共 DNS 访问该 DNS 记录。
_acme-challenge
CNAME 记录(需要下划线) 域名应返回dnsResourceRecord.data
中提供的值 从创建授权时起算您可以使用 Google Public DNS 以快速检查记录是否 可解析且有效。 - 请确保您要为其申请证书的网域
与您关联的授权匹配,或者是这些授权的子域名
请求证书例如,
media.example.com
允许您为以下项目颁发证书:media.example.com
、uk.media.example.com
和staging.media.example.com
,但不是www.example.com
。 - 您的
网域可能会阻止证书管理器为
您的域名。您应确保有针对
pki.goog
以允许 Google 为您已获授权的网域颁发证书。 如果问题是由于 CAA 记录限制造成的,则failure_reason
字段 包含值CAA
。 - 您只能将范围为
EDGE_CACHE
的证书附加到 Edge 缓存服务。如果您未明确指定EDGE_CACHE
的范围 您必须重新颁发证书 使用现有的 DNS 授权。
创建包含多个域名的证书时,任何无效网域 授权会阻止颁发或续订证书。这样可以确保 您请求的所有网域都包含在已颁发的证书中。 确保 DNS 记录、域名和 CAA 记录配置均正确无误 对与证书关联的每个网域有效
失败原因
下表介绍了 颁发证书的原因以及建议的解决方法:
类型 | 错误 | 问题排查步骤 |
---|---|---|
DNS 授权 | CONFIG | 我们无法通过 DNS 验证证书。在大多数情况下, 表示 DNS 记录缺失、无效(复制错误),或 您正尝试为不属于 是已获授权的网域的子网域。 |
DNS 授权 | CAA | 当前的以下证书集禁止颁发证书 [CAA 记录](/media-cdn/docs/ssl-cerificates#caa-records-roots) 或 CAA 记录可能只是刚刚 已更新。 |
DNS 授权 | RATE_LIMITED | (不常见)您颁发证书的速率可能比可接受的速率快 (例如,每分钟十个或更久)。 |
证书 | AUTHORIZATION_ISSUE | 个别网域授权失败。检查 managed.authorizationAttemptInfo.failureReason 以了解授权失败的可能原因。 |