証明書発行のトラブルシューティング

このページでは、SSL(TLS)証明書の発行と添付、または DNS 認証を使用して証明書のプロビジョニングを行う際に発生する可能性がある証明書発行の問題を解決する方法について説明します。

証明書の発行のトラブルシューティング

発行(または更新)失敗の最も一般的な原因は、DNS レコードが無効であるか欠落していることが原因です。これにより、Certificate Manager がドメインの所有権を検証できなくなります。

  • パブリック DNS 経由で DNS レコードにアクセスできることを確認します。ドメインの _acme-challenge CNAME レコードの値(アンダースコアは必須)は、承認の作成時に dnsResourceRecord.data で指定された値を返す必要があります。Google Public DNS を使用して、レコードが解決可能かつ有効であることをすぐに確認できます。
  • 証明書をリクエストしているドメインが、証明書リクエストに関連付けられている承認と一致するか、そのサブドメインであることを確認します。たとえば、media.example.com を承認することにより、media.example.comuk.media.example.com および staging.media.example.com には証明書を発行できますが、www.example.com には発行できません
  • ドメインに既存の CAA レコードがあると、Certificate Manager がドメインの証明書を発行できない可能性があります。Google が承認済みドメインの証明書を発行できるようにするため、pki.goog の CAA レコードがあることを確認する必要があります。 問題が CAA レコードの制限による場合、API レスポンスの failure_reason フィールドには CAA の値が含まれます。
  • エッジ キャッシュ サービスには、スコープ EDGE_CACHE の証明書のみを添付できます。証明書の作成時に EDGE_CACHE のスコープを明示的に指定しなかった場合は、既存の DNS 認証を使用して証明書を再発行する必要があります。

複数のドメイン名を使用して証明書を作成する場合、無効なドメインの承認により、証明書の発行や更新ができなくなります。これにより、リクエストしたすべてのドメインが発行済み証明書に含まれるようになります。 証明書に関連付けられた各ドメインに対して、DNS レコード、ドメイン名、CAA レコードの構成が有効であることを確認します。

失敗の理由

次の表に、証明書を発行しようとしたときに返される可能性のある失敗の理由、その原因、推奨される修正方法を示します。

タイプ エラー トラブルシューティング手順
DNS 認証 CONFIG DNS 経由で証明書を検証できませんでした。多くの場合、これは DNS レコードが欠落しているか、無効である(誤ってコピーされた)か、承認済みドメインの子ではないサブドメインに対して証明書を発行しようとしていることを意味します。
DNS 認証 CAA ドメインに関連付けられた現在の [CAA レコード](/media-cdn/docs/ssl-cerificates#caa-records-roots)のセットで証明書の発行が禁止されているか、CAA レコードが更新されたばかりである可能性があります。
DNS 認証 RATE_LIMITED (一般的でない)CA またはドメインで受け入れられる速度よりも速い速度(たとえば、1 分あたり数十個以上)で証明書を発行している可能性があります。
証明書 AUTHORIZATION_ISSUE 個々のドメインの承認に失敗しました。ドメインの managed.authorizationAttemptInfo.failureReason の値を確認して、承認が失敗した理由を理解してください。

次のステップ