本页面介绍了如何解决可能出现的证书颁发问题 当你 颁发并附加 SSL (TLS) 证书, 或通过 DNS 授权配置证书。
排查证书颁发问题
签发(或续订)失败的最常见原因是 DNS 记录缺失,导致证书管理器无法 验证网域所有权。
- 检查是否可以通过公共 DNS 访问 DNS 记录。
_acme-challengeCNAME 记录(需要下划线) 域名应返回dnsResourceRecord.data中提供的值 从您创建授权时起算您可以使用 Google Public DNS 以快速检查记录是否 可解析且有效。 - 请确保您要为哪些网域申请证书与您要与证书请求关联的授权相匹配,或者是这些授权的子网域。例如,
media.example.com允许您为以下项目颁发证书:media.example.com、uk.media.example.com和staging.media.example.com,但不是www.example.com。 - 您网域上的现有 CAA 记录可能会阻止证书管理器为您的网域颁发证书。您应确保
pki.goog具有 CAA 记录,以允许 Google 为您已获授权的网域颁发证书。如果问题是由于 CAA 记录限制造成的,则failure_reason字段 包含值CAA。 - 您只能将范围为
EDGE_CACHE的证书附加到边缘缓存服务。如果您未明确指定EDGE_CACHE的范围 您必须重新颁发证书 使用现有的 DNS 授权。
创建包含多个域名的证书时,任何无效的网域授权都会导致证书无法颁发或续订。这样可以确保已颁发的证书中包含您请求的所有网域。确保 DNS 记录、域名和 CAA 记录配置对与证书关联的每个网域都有效。
失败原因
下表介绍了 颁发证书的原因以及建议的解决方法:
| 类型 | 错误 | 问题排查步骤 |
|---|---|---|
| DNS 授权 | CONFIG | 我们无法通过 DNS 验证证书。在大多数情况下,这表示 DNS 记录缺失、无效(复制不正确),或者您尝试为不是授权网域的子网域颁发证书。 |
| DNS 授权 | CAA | 当前的以下证书集禁止颁发证书 [CAA 记录](/media-cdn/docs/ssl-cerificates#caa-records-roots) 或 CAA 记录可能只是刚刚 已更新。 |
| DNS 授权 | RATE_LIMITED | (不常见)您发放证书的速度可能比 CA 或网域接受的速度更快(例如,每分钟发放数十个证书或更多)。 |
| 证书 | AUTHORIZATION_ISSUE | 个别网域授权失败。检查 managed.authorizationAttemptInfo.failureReason 以了解授权失败的可能原因。 |