Resolver problemas de emissão de certificados

Esta página mostra como resolver possíveis problemas de emissão de certificados quando você emitir e anexar certificados SSL (TLS), ou provisionar certificados com autorizações de DNS.

Resolver problemas de emissão de certificados

A causa mais comum de falhas na emissão (ou renovação) é a falha na emissão registros DNS ausentes, que impedem o Gerenciador de certificados de e validar a propriedade do domínio.

  • Verifique se o registro DNS pode ser acessado pelo DNS público. O valor de o registro CNAME _acme-challenge (o sublinhado é obrigatório) para sua precisa retornar o valor fornecido no campo dnsResourceRecord.data do momento em que você criou a autorização. É possível usar o DNS público do Google para verificar rapidamente se o registro é resolúvel e válido.
  • Verifique se os domínios para os quais você está solicitando certificados correspondem ou são subdomínios das autorizações às quais você está associando a solicitação de certificado. Por exemplo, uma autorização para media.example.com permite que você emita certificados para media.example.com, uk.media.example.com e staging.media.example.com, mas não www.example.com.
  • Registros CAA existentes na sua domínio pode impedir que o Gerenciador de certificados emita certificados para seu domínio. Verifique se há um registro CAA para pki.goog para permitir que o Google emita certificados para seus domínios autorizados. Se o problema for devido a uma restrição de registro CAA, o campo failure_reason na resposta da API contém um valor de CAA.
  • Só é possível anexar certificados com o escopo EDGE_CACHE a um Edge Serviço de cache. Se você não especificou explicitamente um escopo de EDGE_CACHE ao criá-lo, será necessário emiti-lo novamente usando uma autorização DNS atual.

Ao criar um certificado com vários nomes de domínio, qualquer autorização de domínio inválida impede que o certificado seja emitido ou renovado. Isso garante a inclusão de todos os domínios solicitados no certificado emitido. Confirme se o registro DNS, o nome de domínio e a configuração do registro CAA estão válidos para cada um dos domínios associados a um certificado.

Motivos de falha

A tabela a seguir descreve os motivos de falha que podem ser retornados quando tentativa de emitir um certificado, suas causas e correções sugeridas:

Tipo Erro Etapas da solução de problemas
Autorização de DNS CONFIG Não foi possível validar o certificado via DNS. Na maioria dos casos, significa que o registro DNS está ausente, é inválido (copiado incorretamente) ou você está tentando emitir um certificado para um subdomínio que não é um filho do domínio autorizado.
Autorização de DNS CAA A emissão de certificados é proibida pelo conjunto atual de [Registros CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associados ao domínio ou ao registro CAA pode ter acabado de atualizado.
Autorização de DNS RATE_LIMITED (Incomum) Você está emitindo certificados a uma taxa mais rápida do que a aceita pela AC ou pelo domínio (por exemplo, dezenas por minuto ou mais).
Certificado AUTHORIZATION_ISSUE Falha na autorização do domínio individual. Verifique o valor de managed.authorizationAttemptInfo.failureReason para a para entender por que a autorização falhou.

A seguir