En esta página, se muestra cómo resolver los posibles problemas de emisión de certificados cuando emitir y adjuntar certificados SSL (TLS), o aprovisionar certificados con autorizaciones de DNS.
Solucionar problemas relacionados con la emisión de certificados
La causa más común de la falla en la emisión (o renovación) es la no válida o sin registros DNS, lo que impide que el Administrador de certificados y validar la propiedad del dominio.
- Comprueba que se pueda acceder al registro DNS a través de un DNS público. El valor de
el registro CNAME
_acme-challenge(debes usar el guion bajo) para tu el dominio debe mostrar el valor proporcionado en el archivodnsResourceRecord.datadesde que creaste la autorización. Puedes usar Google Public, DNS para verificar rápidamente que el registro esté se puedan resolver y sean válidos. - Asegúrate de que los dominios para los que solicitas certificados
coinciden o son subdominios de las autorizaciones que estás asociando
la solicitud de certificado. Por ejemplo, una autorización para
media.example.comte permite emitir certificados paramedia.example.com,uk.media.example.comystaging.media.example.com, pero nowww.example.com. - Los registros de CAA existentes en tu
dominio podría impedir que el Administrador de certificados emita certificados para
tu dominio. Debes asegurarte de que haya un registro CAA para
pki.googpara permitir que Google emita certificados para tus dominios autorizados. Si el problema se debe a una restricción de registro de CAA, el campofailure_reasonen la respuesta de la API contiene un valor deCAA. - Solo puedes adjuntar certificados con el alcance
EDGE_CACHEa un servicio de caché perimetral. Si no especificaste explícitamente un alcance deEDGE_CACHEcuando crees el certificado, debes volver a emitirlo con una autorización de DNS existente.
Al crear un certificado con varios nombres de dominio, cualquier dominio no válido autorización impide que el certificado se emita o renueve. Esto garantiza que todos los dominios solicitados estén incluidos en el certificado emitido. Asegúrate de que la configuración del registro DNS, el nombre de dominio y el registro CAA son válidos para cada uno de los dominios asociados con un certificado.
Motivo de la falla
En la siguiente tabla, se describen los motivos de las fallas que se pueden mostrar cuando intento de emitir un certificado, sus causas y las correcciones sugeridas:
| Tipo | Error | Pasos para solucionar problemas |
|---|---|---|
| Autorización de DNS | CONFIG | No pudimos validar el certificado a través de DNS. En la mayoría de los casos, este significa que falta el registro DNS, no es válido (se copió incorrectamente) intenta emitir un certificado para un subdominio que no es un elemento secundario del dominio autorizado. |
| Autorización de DNS | CAA | La emisión de certificados está prohibida por el conjunto actual de [Registros de CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) asociado con el dominio o el registro de CAA solo se hayan se actualicen. |
| Autorización de DNS | RATE_LIMITED | (Poco común) Es posible que emitas certificados a un ritmo más rápido que el aceptado por la AC o el dominio (por ejemplo, decenas por minuto o más). |
| Certificado | AUTHORIZATION_ISSUE | Falló la autorización del dominio individual. Verificar el valor de managed.authorizationAttemptInfo.failureReason para el dominio para comprender por qué falló la autorización. |
¿Qué sigue?
- Consulta Configurar certificados SSL.
- Comprende la conectividad del cliente y compatibilidad con los protocolos.
- Revisa cómo se realizan las conexiones SSL (TLS) a tus orígenes.