Questa pagina mostra come risolvere i problemi di emissione dei certificati che potrebbero verificarsi quando emetti e alleghi certificati SSL (TLS) o esegui il provisioning di certificati con autorizzazioni DNS.
Risolvere i problemi di emissione dei certificati
La causa più comune di un'emissione (o di un rinnovo) non riuscita è dovuta a record DNS non validi o mancanti, che impediscono a Gestore certificati di convalidare la proprietà del dominio.
- Verifica che il record DNS possa essere raggiunto tramite DNS pubblico. Il valore del record CNAME
_acme-challenge(il trattino basso è obbligatorio) per il tuo dominio deve restituire il valore fornito neldnsResourceRecord.datadalla data di creazione dell'autorizzazione. Puoi utilizzare Google Public DNS per verificare rapidamente che il record sia risolvibile e valido. - Assicurati che i domini per i quali richiedi certificati
corrispondano o siano sottodomini alle autorizzazioni che stai associando
alla richiesta di certificato. Ad esempio, un'autorizzazione per
media.example.comti consente di emettere certificati permedia.example.com,uk.media.example.comestaging.media.example.com, ma nonwww.example.com. - I record CAA esistenti nel tuo dominio potrebbero impedire a Gestore certificati di emettere certificati per il tuo dominio. Devi assicurarti che esista un record CAA per
pki.googper consentire a Google di emettere certificati per i tuoi domini autorizzati. Se il problema è dovuto a una limitazione del record CAA, il campofailure_reasonnella risposta dell'API contiene il valoreCAA. - Puoi collegare certificati con ambito
EDGE_CACHEsolo a un servizio di cache perimetrale. Se non hai specificato esplicitamente un ambito diEDGE_CACHEdurante la creazione del certificato, devi emetterlo nuovamente utilizzando un'autorizzazione DNS esistente.
Quando crei un certificato con più nomi di dominio, qualsiasi autorizzazione di dominio non valida ne impedisce l'emissione o il rinnovo. In questo modo ti assicuri che tutti i domini richiesti siano inclusi nel certificato emesso. Assicurati che il record DNS, il nome di dominio e la configurazione del record CAA siano validi per ciascuno dei domini associati a un certificato.
Motivi dell'errore
La tabella seguente descrive i motivi di errore che potrebbero essere restituiti quando si tenta di emettere un certificato, le relative cause e le correzioni suggerite:
| Tipo | Errore | Procedura di risoluzione dei problemi |
|---|---|---|
| Autorizzazione DNS | CONFIG | Non è stato possibile convalidare il certificato tramite DNS. Nella maggior parte dei casi, ciò significa che il record DNS manca, non è valido (copiato erroneamente) o che stai tentando di emettere un certificato per un sottodominio che non è secondario del dominio autorizzato. |
| Autorizzazione DNS | CAA | L'emissione dei certificati è vietata dall'insieme attuale di [record CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associati al dominio oppure il record CAA potrebbe essere stato appena aggiornato. |
| Autorizzazione DNS | RATE_LIMITED | (Insolito) La velocità di emissione dei certificati potrebbe essere superiore a quella accettata dall'autorità di certificazione o dal dominio (ad esempio, decine o più al minuto). |
| Certificato | AUTHORIZATION_ISSUE | L'autorizzazione del singolo dominio non è riuscita. Verifica il valore di managed.authorizationAttemptInfo.failureReason per il dominio per comprendere il motivo per cui l'autorizzazione potrebbe non essere riuscita. |
Passaggi successivi
- Leggi Configurare i certificati SSL.
- Comprendere la connettività dei client e il supporto per i protocolli.
- Verifica come vengono stabilite le connessioni SSL (TLS) alle tue origini.