Esta página mostra-lhe como resolver problemas de emissão de certificados que podem ocorrer quando emite e anexa certificados SSL (TLS) ou aprovisiona certificados com autorizações de DNS.
Resolva problemas de emissão de certificados
A causa mais comum da falha na emissão (ou renovação) deve-se a registos DNS inválidos ou em falta, o que impede o Certificate Manager de validar a propriedade do domínio.
- Verifique se o registo de DNS pode ser alcançado através do DNS público. O valor do registo CNAME (o sublinhado é obrigatório) para o seu domínio deve devolver o valor fornecido no
dnsResourceRecord.dataquando criou a autorização._acme-challengePode usar o DNS público da Google para verificar rapidamente se o registo é resolvível e válido. - Certifique-se de que os domínios para os quais está a pedir certificados correspondem ou são subdomínios das autorizações que está a associar ao pedido de certificado. Por exemplo, uma autorização para
media.example.compermite-lhe emitir certificados paramedia.example.com,uk.media.example.comestaging.media.example.com, mas nãowww.example.com. - Os registos CAA existentes no seu domínio podem impedir que o Gestor de certificados emita certificados para o seu domínio. Deve garantir que existe um registo CAA para
pki.googpara permitir que a Google emita certificados para os seus domínios autorizados. Se o problema se dever a uma restrição do registo CAA, o campofailure_reasonna resposta da API contém um valor deCAA. - Só pode anexar certificados com o âmbito
EDGE_CACHEa um serviço de cache na extremidade. Se não especificou explicitamente um âmbito deEDGE_CACHEquando criou o certificado, tem de reemitir o certificado usando uma autorização de DNS existente.
Quando cria um certificado com vários nomes de domínios, qualquer autorização de domínio inválida impede a emissão ou a renovação do certificado. Isto garante que todos os domínios pedidos estão incluídos no certificado emitido. Certifique-se de que o registo de DNS, o nome de domínio e a configuração do registo CAA são válidos para cada um dos domínios associados a um certificado.
Motivos da falha
A tabela seguinte descreve os motivos de falha que podem ser devolvidos quando tenta emitir um certificado, as respetivas causas e as correções sugeridas:
| Tipo | Erro | Passos de resolução de problemas |
|---|---|---|
| Autorização de DNS | CONFIG | Não foi possível validar o certificado através do DNS. Na maioria dos casos, isto significa que o registo DNS está em falta, é inválido (copiado incorretamente) ou está a tentar emitir um certificado para um subdomínio que não é um elemento secundário do domínio autorizado. |
| Autorização de DNS | CAA | A emissão de certificados está proibida pelo conjunto atual de [registos CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associados ao domínio ou o registo CAA pode ter sido atualizado recentemente. |
| Autorização de DNS | RATE_LIMITED | (Pouco comum) Pode estar a emitir certificados a uma taxa mais rápida do que a aceite pela AC ou pelo domínio (por exemplo, dezenas por minuto ou mais). |
| Certificado | AUTHORIZATION_ISSUE | A autorização do domínio individual falhou. Verifique o valor de managed.authorizationAttemptInfo.failureReason para o domínio para compreender o motivo pelo qual a autorização pode ter falhado. |
O que se segue?
- Leia o artigo Configure certificados SSL.
- Compreenda a conetividade do cliente e o suporte de protocolos.
- Reveja como as ligações SSL (TLS) são feitas às suas origens.