Nesta página, mostramos como resolver problemas que podem ocorrer na emissão de certificados ao emitir e anexar certificados SSL (TLS) ou provisionar certificados com autorizações de DNS.
Resolver problemas de emissão de certificados
A causa mais comum de falha na emissão (ou renovação) é devido a registros DNS inválidos ou ausentes, que impedem o Gerenciador de certificados de validar a propriedade do domínio.
- Verifique se o registro DNS pode ser acessado pelo DNS público. O valor do registro CNAME
_acme-challenge
(o sublinhado é obrigatório) para seu domínio deve retornar o valor fornecido emdnsResourceRecord.data
de quando você criou a autorização. É possível usar o DNS público do Google para verificar rapidamente se o registro pode ser resolvido e válido. - Verifique se os domínios aos quais você está solicitando certificados correspondem ou são subdomínios das autorizações que você está associando à solicitação de certificado. Por exemplo, uma autorização para
media.example.com
permite emitir certificados paramedia.example.com
,uk.media.example.com
estaging.media.example.com
, mas não parawww.example.com
. - Os registros CAA atuais no seu domínio podem impedir que o Gerenciador de certificados emita certificados para seu domínio. Verifique se há um registro CAA para
pki.goog
para permitir que o Google emita certificados para seus domínios autorizados. Se o problema ocorrer devido a uma restrição de registro CAA, o campofailure_reason
na resposta da API vai conter um valorCAA
. - Só é possível anexar certificados com o escopo
EDGE_CACHE
a um serviço de armazenamento em cache de borda. Se você não especificou explicitamente um escopo deEDGE_CACHE
ao criar o certificado, é necessário reemiti-lo usando uma autorização DNS atual.
Ao criar um certificado com vários nomes de domínio, qualquer autorização de domínio inválida impede que o certificado seja emitido ou renovado. Isso garante que todos os domínios solicitados sejam incluídos no certificado emitido. Verifique se o registro DNS, o nome de domínio e a configuração do registro CAA são válidos para cada um dos domínios associados a um certificado.
Motivos de falha
A tabela a seguir descreve os motivos de falha que podem ser retornados ao tentar emitir um certificado, as causas e as correções sugeridas:
Tipo | Erro | Etapas de solução de problemas |
---|---|---|
Autorização de DNS | CONFIG | Não foi possível validar o certificado via DNS. Na maioria dos casos, isso significa que o registro DNS está ausente, é inválido (copiado incorretamente) ou está tentando emitir um certificado para um subdomínio que não é filho do domínio autorizado. |
Autorização de DNS | CAA | A emissão de certificados é proibida pelo conjunto atual de [registros CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associados ao domínio, ou o registro de CAA pode ter sido atualizado há pouco tempo. |
Autorização de DNS | RATE_LIMITED | (Incomum) Você pode emitir certificados a uma taxa mais rápida do que a aceita pela CA ou pelo domínio (por exemplo, dezenas por minuto ou mais). |
Certificado | AUTHORIZATION_ISSUE | Falha na autorização do domínio individual. Verifique o valor de managed.authorizationAttemptInfo.failureReason para o domínio para entender por que a autorização pode ter falhado. |
A seguir
- Leia Configurar certificados SSL.
- Entenda a conectividade do cliente e o suporte ao protocolo.
- Analise como as conexões SSL (TLS) são feitas com suas origens.