En esta página se explica cómo resolver los problemas de emisión de certificados que pueden producirse al emitir y adjuntar certificados SSL (TLS) o al aprovisionar certificados con autorizaciones de DNS.
Solucionar problemas de emisión de certificados
La causa más habitual de los errores de emisión (o renovación) se debe a que los registros de DNS no son válidos o faltan, lo que impide que Certificate Manager valide la propiedad del dominio.
- Comprueba que se pueda acceder al registro DNS a través de un DNS público. El valor del registro CNAME
_acme-challenge(es obligatorio incluir el guion bajo) de tu dominio debe devolver el valor proporcionado endnsResourceRecord.datacuando creaste la autorización. Puedes usar DNS público de Google para comprobar rápidamente que el registro se puede resolver y es válido. - Asegúrate de que los dominios para los que solicitas certificados coincidan con las autorizaciones que asocias a la solicitud de certificado o sean subdominios de estas. Por ejemplo, una autorización para
media.example.comle permite emitir certificados paramedia.example.com,uk.media.example.comystaging.media.example.com, pero no parawww.example.com. - Los registros CAA que haya en tu dominio pueden impedir que Certificate Manager emita certificados para tu dominio. Debes asegurarte de que haya un registro CAA para
pki.googpara permitir que Google emita certificados para tus dominios autorizados. Si el problema se debe a una restricción del registro CAA, el campofailure_reasonde la respuesta de la API contiene el valorCAA. - Solo puedes adjuntar certificados con el ámbito
EDGE_CACHEa un servicio EdgeCache. Si no has especificado explícitamente un ámbito deEDGE_CACHEal crear el certificado, debes volver a emitirlo con una autorización de DNS.
Cuando se crea un certificado con varios nombres de dominio, cualquier autorización de dominio no válida impide que se emita o renueve el certificado. De esta forma, todos los dominios que hayas solicitado se incluirán en el certificado emitido. Asegúrate de que el registro DNS, el nombre de dominio y la configuración del registro CAA sean válidos para cada uno de los dominios asociados a un certificado.
Motivos del error
En la siguiente tabla se describen los motivos por los que puede fallar la emisión de un certificado, las causas y las soluciones sugeridas:
| Tipo | Error | Pasos para solucionar el problema |
|---|---|---|
| Autorización de DNS | CONFIG | No hemos podido validar el certificado mediante DNS. En la mayoría de los casos, esto significa que falta el registro DNS, que no es válido (se ha copiado incorrectamente) o que estás intentando emitir un certificado para un subdominio que no es un subdominio del dominio autorizado. |
| Autorización de DNS | CAA | La emisión de certificados está prohibida por el conjunto actual de [registros CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) asociados al dominio o es posible que el registro CAA se haya actualizado hace poco. |
| Autorización de DNS | RATE_LIMITED | (Poco habitual) Es posible que estés emitiendo certificados a un ritmo más rápido del que acepta la autoridad de certificación o el dominio (por ejemplo, decenas por minuto o más). |
| Certificado | AUTHORIZATION_ISSUE | No se ha podido autorizar el dominio individual. Comprueba el valor de managed.authorizationAttemptInfo.failureReason del dominio para saber por qué puede haber fallado la autorización. |
Siguientes pasos
- Consulta el artículo Configurar certificados SSL.
- Conocer la conectividad de los clientes y la compatibilidad con protocolos.
- Consulta cómo se establecen las conexiones SSL (TLS) con tus orígenes.