Résoudre les problèmes d'émission de certificats

Cette page explique comment résoudre les problèmes d'émission de certificats pouvant survenir lorsque vous émettez et associez des certificats SSL (TLS) ou provisionnez des certificats avec des autorisations DNS.

Résoudre les problèmes d'émission de certificats

Les enregistrements DNS non valides ou manquants sont la cause la plus fréquente des échecs d'émission (ou de renouvellement). Dans une telle situation, le gestionnaire de certificats ne peut pas valider la propriété du domaine.

  • Vérifiez que l'enregistrement DNS est accessible via le DNS public. La valeur de l'enregistrement CNAME _acme-challenge (le trait de soulignement est requis) pour votre domaine doit renvoyer la valeur fournie dans dnsResourceRecord.data au moment de la création de l'autorisation. Vous pouvez utiliser le DNS public de Google pour vérifier rapidement que l'enregistrement peut être résolu et est bien valide.
  • Assurez-vous que les domaines pour lesquels vous demandez des certificats correspondent bien aux autorisations (ou sont des sous-domaines) que vous associez à la requête de certificat. Par exemple, une autorisation pour media.example.com vous permet d'émettre des certificats pour media.example.com, uk.media.example.com et staging.media.example.com, mais pas pour www.example.com.
  • Les enregistrements CAA existants sur votre domaine peuvent empêcher le gestionnaire de certificats d'émettre des certificats pour votre domaine. Vous devez vous assurer qu'il existe un enregistrement CAA pour pki.goog afin de permettre à Google de délivrer des certificats pour vos domaines autorisés. Si le problème est dû à une restriction d'enregistrement CAA, le champ failure_reason de la réponse d'API contient la valeur CAA.
  • Vous ne pouvez associer que des certificats dont le champ d'application est EDGE_CACHE à un service de cache périphérique. Si vous n'avez pas spécifié explicitement un champ d'application EDGE_CACHE lors de la création du certificat, vous devez émettre à nouveau le certificat en utilisant une autorisation DNS existante.

Lors de la création d'un certificat avec plusieurs noms de domaine, toute autorisation de domaine non valide empêche l'émission ou le renouvellement du certificat. Cela garantit que tous les domaines demandés sont inclus dans le certificat émis. Assurez-vous que la configuration des enregistrements DNS, du nom de domaine et des enregistrements CAA est valide pour chacun des domaines associés à un certificat.

Motifs d'échec

Le tableau suivant décrit les motifs d'échec pouvant être renvoyés lors de la tentative d'émission d'un certificat et leurs causes, et fournit des suggestions de solutions :

Type Erreur Procédure de dépannage
Autorisation DNS CONFIG Nous n'avons pas pu valider le certificat via DNS. Dans la plupart des cas, cela signifie que l'enregistrement DNS est manquant ou non valide (incorrectement copié), ou que vous essayez d'émettre un certificat pour un sous-domaine qui n'est pas un enfant du domaine autorisé.
Autorisation DNS CAA L'émission d'un certificat est interdite par l'ensemble actuel d'enregistrements CAA [CAA records](/media-cdn/docs/ssl-cerificates#caa-records-roots) associés au domaine. Il est également possible que l'enregistrement CAA ait été mis à jour très récemment.
Autorisation DNS RATE_LIMITED (Inhabituel) Vous émettez peut-être des certificats à une vitesse supérieure à celle acceptée par l'autorité de certification ou le domaine (par exemple, des dizaines par minute ou plus).
Certificate AUTHORIZATION_ISSUE L'autorisation du domaine individuel a échoué. Vérifiez la valeur de managed.authorizationAttemptInfo.failureReason pour le domaine afin de comprendre pourquoi l'autorisation a échoué.

Étape suivante