Risolvere i problemi relativi al rilascio dei certificati

Questa pagina mostra come risolvere i problemi di emissione dei certificati che potrebbero verificarsi quando emetti e alleghi certificati SSL (TLS) o esegui il provisioning dei certificati con le autorizzazioni DNS.

Risolvere i problemi relativi al rilascio dei certificati

La causa più comune dell'emissione (o del rinnovo) non riuscita è dovuta a record DNS non validi o mancanti, che impediscono a Certificate Manager di convalidare la proprietà del dominio.

  • Verifica che il record DNS sia raggiungibile tramite DNS pubblico. Il valore del record CNAME _acme-challenge (l'underscore è obbligatorio) per il tuo dominio deve restituire il valore fornito in dnsResourceRecord.data al momento della creazione dell'autorizzazione. Puoi utilizzare il DNS pubblico di Google per verificare rapidamente che il record sia risolvibile e valido.
  • Assicurati che i domini per i quali richiedi i certificati corrispondano alle autorizzazioni che associ alla richiesta del certificato o siano sottodomini di queste. Ad esempio, un'autorizzazione per media.example.com ti consente di emettere certificati per media.example.com, uk.media.example.com e staging.media.example.com, ma non per www.example.com.
  • I record CAA esistenti nel tuo dominio potrebbero impedire a Certificate Manager di emettere certificati per il tuo dominio. Devi assicurarti che esista un record CAA per pki.goog per consentire a Google di emettere certificati per i tuoi domini autorizzati. Se il problema è dovuto a una limitazione del record CAA, il campo failure_reason nella risposta dell'API contiene il valore CAA.
  • Puoi allegare certificati con ambito EDGE_CACHE solo a un servizio Edge Cache. Se non hai specificato esplicitamente un ambito di EDGE_CACHE durante la creazione del certificato, devi riemettere il certificato utilizzando un'autorizzazione DNS esistente.

Quando crei un certificato con più nomi di dominio, qualsiasi autorizzazione di dominio non valida impedisce l'emissione o il rinnovo del certificato. In questo modo, tutti i domini richiesti sono inclusi nel certificato emesso. Assicurati che il record DNS, il nome di dominio e la configurazione del record CAA siano validi per ciascuno dei domini associati a un certificato.

Motivi dell'errore

La tabella seguente descrive i motivi di errore che potrebbero essere restituiti quando si tenta di emettere un certificato, le relative cause e le correzioni suggerite:

Tipo Errore Procedura di risoluzione dei problemi
Autorizzazione DNS CONFIG Non è stato possibile convalidare il certificato tramite DNS. Nella maggior parte dei casi, significa che il record DNS non è presente, non è valido (copiato in modo errato) o stai tentando di emettere un certificato per un sottodominio che non è un sottodominio del dominio autorizzato.
Autorizzazione DNS CAA L'emissione del certificato è vietata dall'attuale insieme di [record CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associati al dominio oppure il record CAA potrebbe essere stato appena aggiornato.
Autorizzazione DNS RATE_LIMITED (Non comune) Potresti emettere certificati a una velocità superiore a quella accettata dalla CA o dal dominio (ad esempio, decine al minuto o più).
Certificato AUTHORIZATION_ISSUE L'autorizzazione del singolo dominio non è riuscita. Controlla il valore di managed.authorizationAttemptInfo.failureReason per il dominio per capire perché l'autorizzazione potrebbe non essere riuscita.

Passaggi successivi