Auf dieser Seite erfahren Sie, wie Sie Probleme bei der Zertifikatsausstellung beheben können wenn du SSL-Zertifikate (TLS) ausstellen und anhängen oder stellen Sie Zertifikate mit DNS-Autorisierungen bereit.
Fehlerbehebung bei der Ausstellung von Zertifikaten
Der häufigste Grund für fehlgeschlagene Ausstellung (oder Verlängerung) ist ungültige oder fehlende DNS-Einträge, die den Zertifikatmanager daran hindern, um die Domaininhaberschaft zu bestätigen.
- Prüfen Sie, ob der DNS-Eintrag über ein öffentliches DNS erreicht werden kann. Der Wert des CNAME-Eintrags
_acme-challenge(der Unterstrich ist erforderlich) für Ihre Domain sollte den Wert zurückgeben, der indnsResourceRecord.dataangegeben wurde, als Sie die Autorisierung erstellt haben. Mit Google Public DNS können Sie schnell prüfen, ob der Eintrag aufgelöst werden kann und gültig ist. - Achten Sie darauf, dass die Domain, für die Sie Zertifikate anfordern, entweder mit den Berechtigungen, die Sie mit der Zertifikatsanforderung verknüpfen, übereinstimmen oder Subdomains davon sind. Mit einer Autorisierung für
media.example.comkönnen Sie beispielsweise Zertifikate fürmedia.example.com,uk.media.example.comundstaging.media.example.comausstellen, aber nicht fürwww.example.com. - Vorhandene CAA-Einträge in Ihrer Domain verhindern möglicherweise, dass der Zertifikatmanager Zertifikate für Ihre Domain ausstellt. Achten Sie darauf, dass ein CAA-Eintrag für
pki.googvorhanden ist, damit Google Zertifikate für Ihre autorisierten Domains ausstellen kann. Wenn das Problem auf eine CAA-Eintragseinschränkung zurückzuführen ist, enthält das Feldfailure_reasonin der API-Antwort den WertCAA. - Sie können nur Zertifikate mit dem Bereich
EDGE_CACHEan einen Edge-Cache-Dienst anhängen. Wenn Sie beim Erstellen des Zertifikats nicht explizit den BereichEDGE_CACHEangegeben haben, müssen Sie das Zertifikat mit einer vorhandenen DNS-Autorisierung noch einmal ausstellen.
Bei der Erstellung eines Zertifikats mit mehreren Domainnamen verhindert eine ungültige Domainautorisierung die Ausstellung oder Verlängerung des Zertifikats. Dadurch wird sichergestellt, dass alle angeforderten Domains im ausgestellten Zertifikat enthalten sind. Achten Sie darauf, dass der DNS-Eintrag, der Domainname und die CAA-Eintragskonfiguration für jede mit einem Zertifikat verknüpfte Domain gültig sind.
Grund für Fehler
In der folgenden Tabelle werden die Fehlerursachen, die beim Versuch, ein Zertifikat auszustellen, zurückgegeben werden können, sowie deren Ursachen und vorgeschlagene Abhilfemaßnahmen beschrieben:
| Typ | Fehler | Schritte zur Fehlerbehebung |
|---|---|---|
| DNS-Autorisierung | CONFIG | Wir konnten das Zertifikat nicht über DNS validieren. In den meisten Fällen bedeutet dies, dass der DNS-Eintrag fehlt, ungültig ist (falsch kopiert) oder dass Sie versuchen, ein Zertifikat für eine Subdomain auszustellen, die kein untergeordnetes Element der autorisierten Domain ist. |
| DNS-Autorisierung | CAA | Die Ausstellung von Zertifikaten ist durch den aktuellen Satz von [CAA-Einträgen](/media-cdn/docs/ssl-cerificates#caa-records-roots), der mit der Domain verbunden ist, untersagt, oder der CAA-Eintrag wurde gerade erst aktualisiert. |
| DNS-Autorisierung | RATE_LIMITED | (Ungewöhnlich) Sie geben Zertifikate möglicherweise mit einer höheren Geschwindigkeit aus, als sie von der Zertifizierungsstelle oder Domain akzeptiert wird (z. B. Zehn pro Minute oder mehr). |
| Zertifikat | AUTHORIZATION_ISSUE | Die Autorisierung der einzelnen Domain ist fehlgeschlagen. Prüfen Sie den Wert von managed.authorizationAttemptInfo.failureReason für die Domain, um festzustellen, warum die Autorisierung fehlgeschlagen sein könnte. |
Nächste Schritte
- Lesen Sie SSL-Zertifikate konfigurieren.
- Informieren Sie sich über die Clientkonnektivität und die Protokollunterstützung.
- Prüfen Sie, wie SSL/TLS-Verbindungen zu Ihren Ursprüngen hergestellt werden.