Questa pagina mostra come risolvere i problemi di emissione dei certificati che potrebbero verificarsi quando emetti e alleghi certificati SSL (TLS) o esegui il provisioning dei certificati con le autorizzazioni DNS.
Risolvere i problemi relativi al rilascio dei certificati
La causa più comune dell'emissione (o del rinnovo) non riuscita è dovuta a record DNS non validi o mancanti, che impediscono a Certificate Manager di convalidare la proprietà del dominio.
- Verifica che il record DNS sia raggiungibile tramite DNS pubblico. Il valore del record CNAME
_acme-challenge
(l'underscore è obbligatorio) per il tuo dominio deve restituire il valore fornito indnsResourceRecord.data
al momento della creazione dell'autorizzazione. Puoi utilizzare il DNS pubblico di Google per verificare rapidamente che il record sia risolvibile e valido. - Assicurati che i domini per i quali richiedi i certificati corrispondano alle autorizzazioni che associ alla richiesta del certificato o siano sottodomini di queste. Ad esempio, un'autorizzazione per
media.example.com
ti consente di emettere certificati permedia.example.com
,uk.media.example.com
estaging.media.example.com
, ma non perwww.example.com
. - I record CAA esistenti nel tuo
dominio potrebbero impedire a Certificate Manager di emettere certificati per il
tuo dominio. Devi assicurarti che esista un record CAA per
pki.goog
per consentire a Google di emettere certificati per i tuoi domini autorizzati. Se il problema è dovuto a una limitazione del record CAA, il campofailure_reason
nella risposta dell'API contiene il valoreCAA
. - Puoi allegare certificati con ambito
EDGE_CACHE
solo a un servizio Edge Cache. Se non hai specificato esplicitamente un ambito diEDGE_CACHE
durante la creazione del certificato, devi riemettere il certificato utilizzando un'autorizzazione DNS esistente.
Quando crei un certificato con più nomi di dominio, qualsiasi autorizzazione di dominio non valida impedisce l'emissione o il rinnovo del certificato. In questo modo, tutti i domini richiesti sono inclusi nel certificato emesso. Assicurati che il record DNS, il nome di dominio e la configurazione del record CAA siano validi per ciascuno dei domini associati a un certificato.
Motivi dell'errore
La tabella seguente descrive i motivi di errore che potrebbero essere restituiti quando si tenta di emettere un certificato, le relative cause e le correzioni suggerite:
Tipo | Errore | Procedura di risoluzione dei problemi |
---|---|---|
Autorizzazione DNS | CONFIG | Non è stato possibile convalidare il certificato tramite DNS. Nella maggior parte dei casi, significa che il record DNS non è presente, non è valido (copiato in modo errato) o stai tentando di emettere un certificato per un sottodominio che non è un sottodominio del dominio autorizzato. |
Autorizzazione DNS | CAA | L'emissione del certificato è vietata dall'attuale insieme di [record CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associati al dominio oppure il record CAA potrebbe essere stato appena aggiornato. |
Autorizzazione DNS | RATE_LIMITED | (Non comune) Potresti emettere certificati a una velocità superiore a quella accettata dalla CA o dal dominio (ad esempio, decine al minuto o più). |
Certificato | AUTHORIZATION_ISSUE | L'autorizzazione del singolo dominio non è riuscita. Controlla il valore di managed.authorizationAttemptInfo.failureReason per il dominio per capire perché l'autorizzazione potrebbe non essere riuscita. |
Passaggi successivi
- Leggi l'articolo Configurare i certificati SSL.
- Scopri di più sulla connettività dei client e sul supporto dei protocolli.
- Controlla come vengono stabilite le connessioni SSL (TLS) alle origini.