本页面介绍了如何解决颁发并附加 SSL (TLS) 证书或者预配具有 DNS 授权的证书时可能发生的证书颁发问题。
排查证书颁发问题
颁发(或续订)失败的最常见原因是 DNS 记录无效或缺失,这些记录阻止 Certificate Manager 验证网域所有权。
- 检查是否可以通过公共 DNS 访问该 DNS 记录。您网域的
_acme-challengeCNAME 记录(需要下划线)的值应返回创建授权时dnsResourceRecord.data中提供的值。您可以使用 Google 公共 DNS 快速检查记录是否可解析且有效。 - 确保您请求证书的网域与您要与证书请求关联的授权匹配,或者是其子网域。例如,对
media.example.com的授权允许您为media.example.com、uk.media.example.com和staging.media.example.com颁发证书,但不允许为www.example.com颁发证书。 - 您的网域中的现有 CAA 记录可能会阻止 Certificate Manager 为您的网域颁发证书。您应确保具有
pki.goog的 CAA 记录,以允许 Google 为您已获授权的网域颁发证书。如果问题是由 CAA 记录限制导致的,则 API 响应中的failure_reason字段会包含值CAA。 - 您只能将范围为
EDGE_CACHE的证书附加到边缘缓存服务。如果您在创建证书时未明确指定EDGE_CACHE的范围,则必须使用现有 DNS 授权重新颁发证书。
创建具有多个域名的证书时,任何无效的网域授权都将阻止颁发或续订证书。这样可以确保您请求的所有网域都包含在已颁发的证书中。确保 DNS 记录、域名和 CAA 记录配置对与证书关联的每个网域有效。
失败原因
下表介绍了在尝试颁发证书时可能返回的失败原因、错误原因以及建议的解决方法:
| 类型 | 错误 | 问题排查步骤 |
|---|---|---|
| DNS 授权 | CONFIG | 我们无法通过 DNS 验证证书。在大多数情况下,这意味着 DNS 记录缺失、无效(复制不正确),或者您正在尝试为不是已获授权的网域的子网域颁发证书。 |
| DNS 授权 | CAA | 与网域关联的当前 [CAA 记录](/media-cdn/docs/ssl-cerificates#caa-records-roots) 禁止颁发证书,或者 CAA 记录可能刚刚更新。 |
| DNS 授权 | RATE_LIMITED | (不常见)您可能以比 CA 或网域接受的速率颁发证书(例如,每分钟十个或更长时间)。 |
| 证书 | AUTHORIZATION_ISSUE | 个别网域授权失败。请检查网域的 managed.authorizationAttemptInfo.failureReason 值,了解授权失败的可能原因。 |
后续步骤
- 阅读配置 SSL 证书。
- 了解客户端连接和协议支持。
- 查看如何与源站建立 SSL (TLS) 连接。