En esta página, se muestra cómo resolver los problemas de emisión de certificados que pueden ocurrir cuando emites y adjuntas certificados SSL (TLS) o aprovisionas certificados con autorizaciones de DNS.
Solucionar problemas relacionados con la emisión de certificados
La causa más común de la falla en la emisión (o renovación) es la no válida o sin registros DNS, lo que impide que el Administrador de certificados y validar la propiedad del dominio.
- Verifica que se pueda acceder al registro DNS a través del DNS público. El valor de
el registro CNAME
_acme-challenge
(debes usar el guion bajo) para tu el dominio debe mostrar el valor proporcionado en el archivodnsResourceRecord.data
desde que creaste la autorización. Puedes usar el DNS público de Google para verificar rápidamente que el registro se pueda resolver y sea válido. - Asegúrate de que los dominios para los que solicitas certificados
coinciden o son subdominios de las autorizaciones que estás asociando
la solicitud de certificado. Por ejemplo, una autorización para
media.example.com
te permite emitir certificados paramedia.example.com
,uk.media.example.com
ystaging.media.example.com
, pero no parawww.example.com
. - Los registros de CAA existentes en tu
dominio podría impedir que el Administrador de certificados emita certificados para
tu dominio. Debes asegurarte de que haya un registro CAA para
pki.goog
para permitir que Google emita certificados para tus dominios autorizados. Si el problema se debe a una restricción de registro CAA, el campofailure_reason
en la respuesta de la API contiene un valor deCAA
. - Solo puedes adjuntar certificados con el alcance
EDGE_CACHE
a un servicio de caché perimetral. Si no especificaste explícitamente un permiso deEDGE_CACHE
cuando creaste el certificado, debes volver a emitirlo con una autorización de DNS existente.
Cuando creas un certificado con varios nombres de dominio, cualquier autorización de dominio no válida impide que se emita o renueve el certificado. Esto garantiza que todos los dominios solicitados estén incluidos en el certificado emitido. Asegúrate de que el registro DNS, el nombre de dominio y la configuración del registro CAA sean válidos para cada uno de los dominios asociados con un certificado.
Motivo de la falla
En la siguiente tabla, se describen los motivos de las fallas que se pueden mostrar cuando intento de emitir un certificado, sus causas y las correcciones sugeridas:
Tipo | Error | Pasos para solucionar problemas |
---|---|---|
Autorización de DNS | CONFIG | No pudimos validar el certificado a través del DNS. En la mayoría de los casos, este significa que falta el registro DNS, no es válido (se copió incorrectamente) intenta emitir un certificado para un subdominio que no es un elemento secundario del dominio autorizado. |
Autorización de DNS | CAA | El conjunto actual de [registros de CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) asociados con el dominio prohíbe la emisión de certificados, o bien es posible que el registro de CAA se haya actualizado recientemente. |
Autorización de DNS | RATE_LIMITED | (No es común) Es posible que estés emitiendo certificados a una velocidad más rápida que la que acepta la AC o el dominio (por ejemplo, decenas por minuto o más). |
Certificado | AUTHORIZATION_ISSUE | Falló la autorización del dominio individual. Verificar el valor de managed.authorizationAttemptInfo.failureReason para el dominio para comprender por qué falló la autorización. |
¿Qué sigue?
- Consulta Configurar certificados SSL.
- Comprende la conectividad del cliente y la compatibilidad con los protocolos.
- Revisa cómo se realizan las conexiones SSL (TLS) a tus orígenes.