En esta página, se muestra cómo resolver los problemas de emisión de certificados que pueden ocurrir cuando emites y adjuntas certificados SSL (TLS) o aprovisionas certificados con autorizaciones de DNS.
Solucionar problemas relacionados con la emisión de certificados
La causa más común de que no se complete la emisión (o renovación) se debe a registros de DNS no válidos o faltantes, lo que impide que el Administrador de certificados valide la propiedad del dominio.
- Verifica que se pueda acceder al registro DNS a través del DNS público. El valor del registro CNAME
_acme-challenge(se requiere el guion bajo) para tu dominio debe mostrar el valor proporcionado en eldnsResourceRecord.datade cuando creaste la autorización. Puedes usar el DNS público de Google para verificar rápidamente que el registro se pueda resolver y sea válido. - Asegúrate de que los dominios para los que solicitas certificados coincidan con las autorizaciones que asocias con la solicitud de certificado o sean subdominios de ellas. Por ejemplo, una autorización para
media.example.comte permite emitir certificados paramedia.example.com,uk.media.example.comystaging.media.example.com, pero no parawww.example.com. - Es posible que los registros de CAA existentes en tu
dominio impidan que el Administrador de certificados emita certificados para
tu dominio. Debes asegurarte de que haya un registro CAA para
pki.googpara permitir que Google emita certificados para tus dominios autorizados. Si el problema se debe a una restricción de registro CAA, el campofailure_reasonen la respuesta de la API contiene un valor deCAA. - Solo puedes adjuntar certificados con el alcance
EDGE_CACHEa un servicio de caché perimetral. Si no especificaste explícitamente un permiso deEDGE_CACHEcuando creaste el certificado, debes volver a emitirlo con una autorización de DNS existente.
Al crear un certificado con varios nombres de dominio, cualquier dominio no válido autorización impide que el certificado se emita o renueve. Esto garantiza que todos los dominios solicitados se incluyan en el certificado emitido. Asegúrate de que el registro DNS, el nombre de dominio y la configuración del registro CAA sean válidos para cada uno de los dominios asociados con un certificado.
Motivo de la falla
En la siguiente tabla, se describen los motivos de las fallas que se pueden mostrar cuando intento de emitir un certificado, sus causas y las correcciones sugeridas:
| Tipo | Error | Pasos para solucionar problemas |
|---|---|---|
| Autorización de DNS | CONFIG | No pudimos validar el certificado a través de DNS. En la mayoría de los casos, esto significa que falta el registro DNS, que no es válido (se copió de forma incorrecta) o que estás intentando emitir un certificado para un subdominio que no es secundario del dominio autorizado. |
| Autorización de DNS | CAA | La emisión de certificados está prohibida por el conjunto actual de [Registros de CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) asociados con el dominio o el registro CAA solo se hayan se actualicen. |
| Autorización de DNS | RATE_LIMITED | (No es común) Es posible que estés emitiendo certificados a una velocidad más rápida que la que acepta la AC o el dominio (por ejemplo, decenas por minuto o más). |
| Certificado | AUTHORIZATION_ISSUE | Falló la autorización del dominio individual. Verificar el valor de managed.authorizationAttemptInfo.failureReason para el dominio para comprender por qué falló la autorización. |
¿Qué sigue?
- Lee Cómo configurar certificados SSL.
- Comprende la conectividad del cliente y compatibilidad con los protocolos.
- Revisa cómo se realizan las conexiones SSL (TLS) a tus orígenes.