이 페이지에서는 SSL(TLS) 인증서를 발급 및 연결하거나 DNS 승인으로 인증서를 프로비저닝할 때 발생할 수 있는 인증서 발급 문제의 해결 방법을 보여줍니다.
인증서 발급 문제 해결
발급(또는 갱신) 실패의 가장 일반적인 원인은 인증서 관리자의 도메인 소유권 검증을 방해하는 유효하지 않거나 누락된 DNS 레코드입니다.
- 공개 DNS를 통해 DNS 레코드에 도달할 수 있는지 확인하세요. 도메인에 대한
_acme-challengeCNAME 레코드(밑줄 필요)는 승인을 만든 시점으로부터dnsResourceRecord.data에서 제공된 값을 반환합니다. Google 공개 DNS를 사용하여 레코드가 확인 가능하고 유효한지 빠르게 확인할 수 있습니다. - 인증서를 요청하는 도메인이 인증서 요청과 연결하려는 승인과 일치하거나 하위 도메인인지 확인합니다. 예를 들어
media.example.com에 대한 승인이 있으면media.example.com,uk.media.example.com,staging.media.example.com에 대해 인증서를 발급할 수 있지만www.example.com에 대해서는 발급할 수 없습니다. - 도메인의 기존 CAA 레코드로 인해 Certificate Manager가 도메인에 대해 인증서를 발급하지 못할 수 있습니다. Google이 승인된 도메인에 대해 인증서를 발급하도록 허용하려면
pki.goog에 대해 CAA 레코드가 있는지 확인해야 합니다. CAA 레코드 제한으로 인해 문제가 있으면 API 응답의failure_reason필드에CAA값이 포함됩니다. - 범위가
EDGE_CACHE인 인증서만 에지 캐시 서비스에 연결할 수 있습니다. 인증서를 만들 때EDGE_CACHE범위를 명시적으로 지정하지 않았으면 기존 DNS 승인을 사용하여 인증서를 다시 발급해야 합니다.
여러 도메인 이름을 사용해서 인증서를 만들 때 도메인 승인이 유효하지 않으면 인증서 발급 또는 갱신이 방해됩니다. 따라서 요청된 모든 도메인이 발급된 인증서에 포함됩니다. DNS 레코드, 도메인 이름, CAA 레코드 구성이 인증서와 연결된 각 도메인에 대해 유효한지 확인하세요.
실패 이유
다음 표에서는 인증서 발급을 시도할 때 반환될 수 있는 실패 이유와 해당 원인 및 권장 수정 방법을 설명합니다.
| 유형 | 오류 | 문제 해결 단계 |
|---|---|---|
| DNS 승인 | CONFIG | DNS를 통해 인증서를 검증할 수 없습니다. 대부분의 경우, DNS 레코드가 누락되었거나, 유효하지 않거나(잘못 복사됨), 승인된 도메인의 하위 항목이 아닌 하위 도메인에 대해 인증서를 발급하려고 시도하는 중일 수 있습니다. |
| DNS 승인 | CAA | 인증서 발급이 도메인과 연결된 [CAA 레코드](/media-cdn/docs/ssl-cerificates#caa-records-roots)의 현재 집합에서 금지되어 있거나 CAA 레코드가 바로 전에 업데이트되었을 수 있습니다. |
| DNS 승인 | RATE_LIMITED | (일반적이지 않음) CA 또는 도메인에서 허용되는 것보다 빠른 속도로 인증서를 발급하는 중일 수 있습니다(예: 분당 10회 이상). |
| 인증서 | AUTHORIZATION_ISSUE | 개별 도메인의 승인이 실패했습니다. 승인이 실패한 이유를 확인하려면 도메인의 managed.authorizationAttemptInfo.failureReason 값을 확인합니다. |
다음 단계
- SSL 인증서 구성 자세히 알아보기
- 클라이언트 연결 및 프로토콜 지원 이해
- 원본에 대한 SSL(TLS) 연결 설정 방법 검토