Halaman ini menunjukkan cara menyelesaikan masalah penerbitan sertifikat yang mungkin terjadi saat Anda menerbitkan dan melampirkan sertifikat SSL (TLS), atau menyediakan sertifikat dengan otorisasi DNS.
Memecahkan masalah penerbitan sertifikat
Penyebab paling umum kegagalan penerbitan (atau perpanjangan) adalah karena data DNS tidak valid atau tidak ada, yang mencegah Pengelola Sertifikat memvalidasi kepemilikan domain.
- Pastikan data DNS dapat dijangkau melalui DNS publik. Nilai
data CNAME
_acme-challenge(garis bawah diperlukan) untuk domain Anda harus menampilkan nilai yang diberikan didnsResourceRecord.datasejak Anda membuat otorisasi. Anda dapat menggunakan DNS Publik Google untuk memeriksa dengan cepat apakah data tersebut dapat di-resolve dan valid. - Pastikan domain yang Anda minta sertifikatnya cocok dengan, atau merupakan subdomain dari, otorisasi yang Anda kaitkan dengan permintaan sertifikat. Misalnya, otorisasi untuk
media.example.commemungkinkan Anda menerbitkan sertifikat untukmedia.example.com,uk.media.example.com, danstaging.media.example.com, tetapi bukanwww.example.com. - Data CAA yang ada di domain Anda
mungkin mencegah Pengelola Sertifikat menerbitkan sertifikat untuk
domain Anda. Anda harus memastikan bahwa ada data CAA untuk
pki.googagar Google dapat menerbitkan sertifikat untuk domain yang Anda izinkan. Jika masalahnya disebabkan oleh batasan data CAA, kolomfailure_reasondalam respons API akan berisi nilaiCAA. - Anda hanya dapat melampirkan sertifikat dengan cakupan
EDGE_CACHEke Layanan Cache Edge. Jika Anda tidak menentukan cakupanEDGE_CACHEsecara eksplisit saat membuat sertifikat, Anda harus menerbitkan ulang sertifikat menggunakan otorisasi DNS yang ada.
Saat membuat sertifikat dengan beberapa nama domain, otorisasi domain yang tidak valid akan mencegah sertifikat dikeluarkan atau diperpanjang. Tindakan ini memastikan bahwa semua domain yang Anda minta disertakan dalam sertifikat yang diterbitkan. Pastikan konfigurasi data DNS, nama domain, dan data CAA valid untuk setiap domain yang terkait dengan sertifikat.
Alasan kegagalan
Tabel berikut menjelaskan alasan kegagalan yang mungkin ditampilkan saat mencoba menerbitkan sertifikat, penyebabnya, dan perbaikan yang disarankan:
| Jenis | Error | Langkah-Langkah Pemecahan Masalah |
|---|---|---|
| Otorisasi DNS | CONFIG | Kami tidak dapat memvalidasi sertifikat melalui DNS. Biasanya, hal ini berarti data DNS tidak ada, tidak valid (salah disalin), atau Anda mencoba menerbitkan sertifikat untuk subdomain yang bukan turunan dari domain resmi. |
| Otorisasi DNS | CAA | Penerbitan sertifikat dilarang oleh kumpulan [data CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) saat ini yang terkait dengan domain atau data CAA mungkin baru saja diperbarui. |
| Otorisasi DNS | RATE_LIMITED | (Jarang terjadi) Anda mungkin menerbitkan sertifikat dengan kecepatan yang lebih cepat daripada yang diterima oleh CA atau domain (misalnya, puluhan per menit atau lebih). |
| Sertifikat | AUTHORIZATION_ISSUE | Setiap domain gagal mendapatkan otorisasi. Periksa nilai managed.authorizationAttemptInfo.failureReason untuk domain guna memahami alasan otorisasi mungkin gagal. |
Langkah selanjutnya
- Baca Mengonfigurasi sertifikat SSL.
- Pahami konektivitas klien dan dukungan protokol.
- Tinjau cara koneksi SSL (TLS) dibuat ke origin Anda.