Auf dieser Seite erfahren Sie, wie Sie Probleme bei der Zertifikatausstellung beheben, die auftreten können, wenn Sie SSL-Zertifikate (TLS) ausstellen und anhängen oder Zertifikate mit DNS-Autorisierungen bereitstellen.
Fehlerbehebung bei der Ausstellung von Zertifikaten
Die häufigste Ursache für eine fehlgeschlagene Ausstellung (oder Verlängerung) sind ungültige oder fehlende DNS-Einträge, die den Zertifikatmanager daran hindern, den Domain-Inhaberschaft zu prüfen.
- Prüfen Sie, ob der DNS-Eintrag über ein öffentliches DNS erreicht werden kann. Der Wert des CNAME-Eintrags
_acme-challenge
(der Unterstrich ist erforderlich) für Ihre Domain sollte den Wert zurückgeben, der indnsResourceRecord.data
angegeben wurde, als Sie die Autorisierung erstellt haben. Mit Google Public DNS können Sie schnell prüfen, ob der Eintrag aufgelöst werden kann und gültig ist. - Achten Sie darauf, dass die Domain, für die Sie Zertifikate anfordern, entweder mit den Berechtigungen, die Sie mit der Zertifikatsanforderung verknüpfen, übereinstimmen oder Subdomains davon sind. Mit einer Autorisierung für
media.example.com
können Sie beispielsweise Zertifikate fürmedia.example.com
,uk.media.example.com
undstaging.media.example.com
ausstellen, aber nicht fürwww.example.com
. - Vorhandene CAA-Einträge in Ihrer Domain verhindern möglicherweise, dass der Zertifikatmanager Zertifikate für Ihre Domain ausstellt. Achten Sie darauf, dass ein CAA-Eintrag für
pki.goog
vorhanden ist, damit Google Zertifikate für Ihre autorisierten Domains ausstellen kann. Wenn das Problem auf eine CAA-Eintragseinschränkung zurückzuführen ist, enthält das Feldfailure_reason
in der API-Antwort den WertCAA
. - Sie können nur Zertifikate mit dem Bereich
EDGE_CACHE
an einen Edge-Cache-Dienst anhängen. Wenn Sie beim Erstellen des Zertifikats nicht explizit den BereichEDGE_CACHE
angegeben haben, müssen Sie das Zertifikat mit einer vorhandenen DNS-Autorisierung noch einmal ausstellen.
Bei der Erstellung eines Zertifikats mit mehreren Domainnamen verhindert eine ungültige Domainautorisierung die Ausstellung oder Verlängerung des Zertifikats. Dadurch wird sichergestellt, dass alle angeforderten Domains im ausgestellten Zertifikat enthalten sind. Achten Sie darauf, dass der DNS-Eintrag, der Domainname und die CAA-Eintragskonfiguration für jede mit einem Zertifikat verknüpfte Domain gültig sind.
Grund für Fehler
In der folgenden Tabelle werden die Fehlerursachen, die beim Versuch, ein Zertifikat auszustellen, zurückgegeben werden können, sowie deren Ursachen und vorgeschlagene Abhilfemaßnahmen beschrieben:
Typ | Fehler | Schritte zur Fehlerbehebung |
---|---|---|
DNS-Autorisierung | CONFIG | Wir konnten das Zertifikat nicht über DNS validieren. In den meisten Fällen bedeutet dies, dass der DNS-Eintrag fehlt, ungültig ist (falsch kopiert) oder dass Sie versuchen, ein Zertifikat für eine Subdomain auszustellen, die kein untergeordnetes Element der autorisierten Domain ist. |
DNS-Autorisierung | CAA | Die Ausstellung von Zertifikaten ist durch den aktuellen Satz von [CAA-Einträgen](/media-cdn/docs/ssl-cerificates#caa-records-roots), der mit der Domain verbunden ist, untersagt, oder der CAA-Eintrag wurde gerade erst aktualisiert. |
DNS-Autorisierung | RATE_LIMITED | (Ungewöhnlich) Sie geben Zertifikate möglicherweise mit einer höheren Geschwindigkeit aus, als sie von der Zertifizierungsstelle oder Domain akzeptiert wird (z. B. Zehn pro Minute oder mehr). |
Zertifikat | AUTHORIZATION_ISSUE | Die Autorisierung der einzelnen Domain ist fehlgeschlagen. Prüfen Sie den Wert von managed.authorizationAttemptInfo.failureReason für die Domain, um festzustellen, warum die Autorisierung fehlgeschlagen sein könnte. |
Nächste Schritte
- Lesen Sie SSL-Zertifikate konfigurieren.
- Informieren Sie sich über die Clientkonnektivität und die Protokollunterstützung.
- Prüfen Sie, wie SSL/TLS-Verbindungen zu Ihren Ursprüngen hergestellt werden.