Questa pagina mostra come risolvere i problemi di emissione dei certificati che potrebbero verificarsi quando emetti e alleghi certificati SSL (TLS) o esegui il provisioning dei certificati con le autorizzazioni DNS.
Risolvere i problemi di emissione dei certificati
La causa più comune di un'emissione (o di un rinnovo) non riuscita è un errore record DNS mancanti, che impediscono a Gestore certificati di e la convalida della proprietà del dominio.
- Verifica che il record DNS possa essere raggiunto tramite DNS pubblico. Il valore del record CNAME
_acme-challenge(l'underscore è obbligatorio) per il tuo dominio deve restituire il valore fornito indnsResourceRecord.dataal momento della creazione dell'autorizzazione. Puoi utilizzare Google Public DNS per verificare rapidamente che il record sia risolvibile e valido. - Assicurati che i domini per i quali richiedi certificati
corrispondono o sono sottodomini delle autorizzazioni che stai associando
la richiesta di certificato. Ad esempio, un'autorizzazione per
media.example.comti consente di emettere certificati permedia.example.com,uk.media.example.comestaging.media.example.com, ma nonwww.example.com. - Record CAA esistenti nel tuo
potrebbe impedire a Certificate Manager di emettere certificati per
il tuo dominio. Devi assicurarti che esista un record CAA per
pki.googper consentire a Google di emettere certificati per i tuoi domini autorizzati. Se il problema è dovuto a una limitazione del record CAA, il campofailure_reasonnella risposta dell'API contiene il valoreCAA. - Puoi allegare certificati con ambito
EDGE_CACHEsolo a un servizio Edge Cache. Se non hai specificato esplicitamente un ambito diEDGE_CACHEdurante la creazione del certificato, devi riemettere il certificato utilizzando un'autorizzazione DNS esistente.
Quando crei un certificato con più nomi di dominio, qualsiasi autorizzazione di dominio non valida impedisce l'emissione o il rinnovo del certificato. Ciò garantisce che tutti i domini richiesti siano inclusi nel certificato emesso. Assicurati che il record DNS, il nome di dominio e la configurazione del record CAA siano validi per ciascuno dei domini associati a un certificato.
Motivi dell'errore
La tabella seguente descrive i motivi di errore che potrebbero essere restituiti quando tentativo di emettere un certificato, le relative cause e le soluzioni suggerite:
| Tipo | Errore | Procedura di risoluzione dei problemi |
|---|---|---|
| Autorizzazione DNS | CONFIGURA | Non è stato possibile convalidare il certificato tramite DNS. Nella maggior parte dei casi, significa che il record DNS è mancante, non valido (copiato erroneamente) o stai tentando di emettere un certificato per un sottodominio che non è un figlio del dominio autorizzato. |
| Autorizzazione DNS | CAA | L'emissione di certificati è vietata dall'insieme corrente di [Record CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associati al dominio o al record CAA potrebbero essere stati aggiornato. |
| Autorizzazione DNS | RATE_LIMITED | (Non comune) Potresti emettere certificati a una velocità superiore a quella accettata dalla CA o dal dominio (ad esempio, decine al minuto o più). |
| Certificato | AUTHORIZATION_ISSUE | L'autorizzazione del singolo dominio non è riuscita. Verifica il valore di managed.authorizationAttemptInfo.failureReason per il valore dominio per capire il motivo per cui l'autorizzazione potrebbe non essere riuscita. |
Passaggi successivi
- Leggi Configurare i certificati SSL.
- Comprendere la connettività dei client e il supporto del protocollo.
- Esaminare come vengono stabilite le connessioni SSL (TLS) alle tue origini.