Questa pagina mostra come risolvere i problemi di emissione dei certificati che potrebbero verificarsi quando emetti e alleghi certificati SSL (TLS) o esegui il provisioning di certificati con autorizzazioni DNS.
Risolvere i problemi di emissione dei certificati
La causa più comune di un'emissione (o di un rinnovo) non riuscita è dovuta a record DNS non validi o mancanti, che impediscono a Gestore certificati di convalidare la proprietà del dominio.
- Verifica che il record DNS possa essere raggiunto tramite DNS pubblico. Il valore del record CNAME
_acme-challenge
(il trattino basso è obbligatorio) per il tuo dominio deve restituire il valore fornito neldnsResourceRecord.data
dalla data di creazione dell'autorizzazione. Puoi utilizzare Google Public DNS per verificare rapidamente che il record sia risolvibile e valido. - Assicurati che i domini per i quali richiedi certificati
corrispondano o siano sottodomini alle autorizzazioni che stai associando
alla richiesta di certificato. Ad esempio, un'autorizzazione per
media.example.com
ti consente di emettere certificati permedia.example.com
,uk.media.example.com
estaging.media.example.com
, ma nonwww.example.com
. - I record CAA esistenti nel tuo dominio potrebbero impedire a Gestore certificati di emettere certificati per il tuo dominio. Devi assicurarti che esista un record CAA per
pki.goog
per consentire a Google di emettere certificati per i tuoi domini autorizzati. Se il problema è dovuto a una limitazione del record CAA, il campofailure_reason
nella risposta dell'API contiene il valoreCAA
. - Puoi collegare certificati con ambito
EDGE_CACHE
solo a un servizio di cache perimetrale. Se non hai specificato esplicitamente un ambito diEDGE_CACHE
durante la creazione del certificato, devi emetterlo nuovamente utilizzando un'autorizzazione DNS esistente.
Quando crei un certificato con più nomi di dominio, qualsiasi autorizzazione di dominio non valida ne impedisce l'emissione o il rinnovo. In questo modo ti assicuri che tutti i domini richiesti siano inclusi nel certificato emesso. Assicurati che il record DNS, il nome di dominio e la configurazione del record CAA siano validi per ciascuno dei domini associati a un certificato.
Motivi dell'errore
La tabella seguente descrive i motivi di errore che potrebbero essere restituiti quando si tenta di emettere un certificato, le relative cause e le correzioni suggerite:
Tipo | Errore | Procedura di risoluzione dei problemi |
---|---|---|
Autorizzazione DNS | CONFIG | Non è stato possibile convalidare il certificato tramite DNS. Nella maggior parte dei casi, ciò significa che il record DNS manca, non è valido (copiato erroneamente) o che stai tentando di emettere un certificato per un sottodominio che non è secondario del dominio autorizzato. |
Autorizzazione DNS | CAA | L'emissione dei certificati è vietata dall'insieme attuale di [record CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associati al dominio oppure il record CAA potrebbe essere stato appena aggiornato. |
Autorizzazione DNS | RATE_LIMITED | (Insolito) La velocità di emissione dei certificati potrebbe essere superiore a quella accettata dall'autorità di certificazione o dal dominio (ad esempio, decine o più al minuto). |
Certificato | AUTHORIZATION_ISSUE | L'autorizzazione del singolo dominio non è riuscita. Verifica il valore di managed.authorizationAttemptInfo.failureReason per il dominio per comprendere il motivo per cui l'autorizzazione potrebbe non essere riuscita. |
Passaggi successivi
- Leggi Configurare i certificati SSL.
- Comprendere la connettività dei client e il supporto per i protocolli.
- Verifica come vengono stabilite le connessioni SSL (TLS) alle tue origini.