Esta página mostra como resolver possíveis problemas de emissão de certificados quando você emitir e anexar certificados SSL (TLS), ou provisionar certificados com autorizações de DNS.
Resolver problemas de emissão de certificados
A causa mais comum de falhas na emissão (ou renovação) é a falha na emissão registros DNS ausentes, que impedem o Gerenciador de certificados de e validar a propriedade do domínio.
- Verifique se o registro DNS pode ser acessado pelo DNS público. O valor de
o registro CNAME
_acme-challenge
(o sublinhado é obrigatório) para sua precisa retornar o valor fornecido no campodnsResourceRecord.data
do momento em que você criou a autorização. É possível usar o DNS público do Google para verificar rapidamente se o registro é resolúvel e válido. - Verifique se os domínios para os quais você está solicitando certificados
correspondem ou são subdomínios das autorizações às quais você está associando
a solicitação de certificado. Por exemplo, uma autorização para
media.example.com
permite que você emita certificados paramedia.example.com
,uk.media.example.com
estaging.media.example.com
, mas nãowww.example.com
. - Registros CAA existentes na sua
domínio pode impedir que o Gerenciador de certificados emita certificados para
seu domínio. Verifique se há um registro CAA para
pki.goog
para permitir que o Google emita certificados para seus domínios autorizados. Se o problema for devido a uma restrição de registro CAA, o campofailure_reason
na resposta da API contém um valor deCAA
. - Só é possível anexar certificados com o escopo
EDGE_CACHE
a um Edge Serviço de cache. Se você não especificou explicitamente um escopo deEDGE_CACHE
ao criá-lo, será necessário emiti-lo novamente usando uma autorização DNS atual.
Ao criar um certificado com vários nomes de domínio, qualquer autorização de domínio inválida impede que o certificado seja emitido ou renovado. Isso garante a inclusão de todos os domínios solicitados no certificado emitido. Confirme se o registro DNS, o nome de domínio e a configuração do registro CAA estão válidos para cada um dos domínios associados a um certificado.
Motivos de falha
A tabela a seguir descreve os motivos de falha que podem ser retornados quando tentativa de emitir um certificado, suas causas e correções sugeridas:
Tipo | Erro | Etapas da solução de problemas |
---|---|---|
Autorização de DNS | CONFIG | Não foi possível validar o certificado via DNS. Na maioria dos casos, significa que o registro DNS está ausente, é inválido (copiado incorretamente) ou você está tentando emitir um certificado para um subdomínio que não é um filho do domínio autorizado. |
Autorização de DNS | CAA | A emissão de certificados é proibida pelo conjunto atual de [Registros CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associados ao domínio ou ao registro CAA pode ter acabado de atualizado. |
Autorização de DNS | RATE_LIMITED | (Incomum) Você está emitindo certificados a uma taxa mais rápida do que a aceita pela AC ou pelo domínio (por exemplo, dezenas por minuto ou mais). |
Certificado | AUTHORIZATION_ISSUE | Falha na autorização do domínio individual. Verifique o valor de managed.authorizationAttemptInfo.failureReason para a para entender por que a autorização falhou. |
A seguir
- Leia Configurar certificados SSL.
- Entenda a conexão do cliente e o suporte a protocolos.
- Confira como as conexões SSL (TLS) são feitas para suas origens.