Solucionar problemas relacionados con la emisión de certificados

En esta página, se muestra cómo resolver los problemas de emisión de certificados que pueden ocurrir cuando emites y adjuntas certificados SSL (TLS) o aprovisionas certificados con autorizaciones de DNS.

Solucionar problemas relacionados con la emisión de certificados

La causa más común de que no se complete la emisión (o renovación) se debe a registros de DNS no válidos o faltantes, lo que impide que el Administrador de certificados valide la propiedad del dominio.

  • Verifica que se pueda acceder al registro DNS a través del DNS público. El valor del registro CNAME _acme-challenge (se requiere el guion bajo) para tu dominio debe mostrar el valor proporcionado en el dnsResourceRecord.data de cuando creaste la autorización. Puedes usar el DNS público de Google para verificar rápidamente que el registro se pueda resolver y sea válido.
  • Asegúrate de que los dominios para los que solicitas certificados coincidan con las autorizaciones que asocias con la solicitud de certificado o sean subdominios de ellas. Por ejemplo, una autorización para media.example.com te permite emitir certificados para media.example.com, uk.media.example.com y staging.media.example.com, pero no para www.example.com.
  • Es posible que los registros de CAA existentes en tu dominio impidan que el Administrador de certificados emita certificados para tu dominio. Debes asegurarte de que haya un registro CAA para pki.goog para permitir que Google emita certificados para tus dominios autorizados. Si el problema se debe a una restricción de registro CAA, el campo failure_reason en la respuesta de la API contiene un valor de CAA.
  • Solo puedes adjuntar certificados con el alcance EDGE_CACHE a un servicio de caché perimetral. Si no especificaste explícitamente un permiso de EDGE_CACHE cuando creaste el certificado, debes volver a emitirlo con una autorización de DNS existente.

Cuando creas un certificado con varios nombres de dominio, cualquier autorización de dominio no válida impide que se emita o renueve el certificado. Esto garantiza que todos los dominios solicitados se incluyan en el certificado emitido. Asegúrate de que el registro DNS, el nombre de dominio y la configuración del registro CAA sean válidos para cada uno de los dominios asociados con un certificado.

Motivo de la falla

En la siguiente tabla, se describen los motivos de fallas que se pueden mostrar cuando se intenta emitir un certificado, sus causas y las correcciones sugeridas:

Tipo Error Pasos para solucionar problemas
Autorización de DNS CONFIG No pudimos validar el certificado a través del DNS. En la mayoría de los casos, esto significa que falta el registro DNS, que no es válido (se copió de forma incorrecta) o que estás intentando emitir un certificado para un subdominio que no es secundario del dominio autorizado.
Autorización de DNS CAA El conjunto actual de [registros de CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) asociados con el dominio prohíbe la emisión de certificados, o bien es posible que el registro de CAA se haya actualizado recientemente.
Autorización de DNS RATE_LIMITED (No es común) Es posible que estés emitiendo certificados a una velocidad más rápida que la que acepta la AC o el dominio (por ejemplo, decenas por minuto o más).
Certificado AUTHORIZATION_ISSUE No se pudo autorizar el dominio individual. Verifica el valor de managed.authorizationAttemptInfo.failureReason para el dominio para comprender por qué pudo fallar la autorización.

¿Qué sigue?