Cette page explique comment résoudre les problèmes d'émission de certificats pouvant survenir lorsque vous émettez et associez des certificats SSL (TLS) ou provisionnez des certificats avec des autorisations DNS.
Résoudre les problèmes d'émission de certificats
Les enregistrements DNS non valides ou manquants sont la cause la plus fréquente des échecs d'émission (ou de renouvellement). Dans une telle situation, le gestionnaire de certificats ne peut pas valider la propriété du domaine.
- Vérifiez que l'enregistrement DNS est accessible via le DNS public. La valeur de l'enregistrement CNAME
_acme-challenge
(le trait de soulignement est requis) pour votre domaine doit renvoyer la valeur fournie dansdnsResourceRecord.data
au moment de la création de l'autorisation. Vous pouvez utiliser le DNS public de Google pour vérifier rapidement que l'enregistrement peut être résolu et est bien valide. - Assurez-vous que les domaines pour lesquels vous demandez des certificats correspondent bien aux autorisations (ou sont des sous-domaines) que vous associez à la requête de certificat. Par exemple, une autorisation pour
media.example.com
vous permet d'émettre des certificats pourmedia.example.com
,uk.media.example.com
etstaging.media.example.com
, mais pas pourwww.example.com
. - Les enregistrements CAA existants sur votre domaine peuvent empêcher le gestionnaire de certificats d'émettre des certificats pour votre domaine. Vous devez vous assurer qu'il existe un enregistrement CAA pour
pki.goog
afin de permettre à Google de délivrer des certificats pour vos domaines autorisés. Si le problème est dû à une restriction d'enregistrement CAA, le champfailure_reason
de la réponse d'API contient la valeurCAA
. - Vous ne pouvez associer que des certificats dont le champ d'application est
EDGE_CACHE
à un service de cache périphérique. Si vous n'avez pas spécifié explicitement un champ d'applicationEDGE_CACHE
lors de la création du certificat, vous devez émettre à nouveau le certificat en utilisant une autorisation DNS existante.
Lors de la création d'un certificat avec plusieurs noms de domaine, toute autorisation de domaine non valide empêche l'émission ou le renouvellement du certificat. Cela garantit que tous les domaines demandés sont inclus dans le certificat émis. Assurez-vous que la configuration des enregistrements DNS, du nom de domaine et des enregistrements CAA est valide pour chacun des domaines associés à un certificat.
Motifs d'échec
Le tableau suivant décrit les motifs d'échec pouvant être renvoyés lors de la tentative d'émission d'un certificat et leurs causes, et fournit des suggestions de solutions :
Type | Erreur | Procédure de dépannage |
---|---|---|
Autorisation DNS | CONFIG | Nous n'avons pas pu valider le certificat via DNS. Dans la plupart des cas, cela signifie que l'enregistrement DNS est manquant ou non valide (incorrectement copié), ou que vous essayez d'émettre un certificat pour un sous-domaine qui n'est pas un enfant du domaine autorisé. |
Autorisation DNS | CAA | L'émission d'un certificat est interdite par l'ensemble actuel d'enregistrements CAA [CAA records](/media-cdn/docs/ssl-cerificates#caa-records-roots) associés au domaine. Il est également possible que l'enregistrement CAA ait été mis à jour très récemment. |
Autorisation DNS | RATE_LIMITED | (Inhabituel) Vous émettez peut-être des certificats à une vitesse supérieure à celle acceptée par l'autorité de certification ou le domaine (par exemple, des dizaines par minute ou plus). |
Certificate | AUTHORIZATION_ISSUE | L'autorisation du domaine individuel a échoué. Vérifiez la valeur de managed.authorizationAttemptInfo.failureReason pour le domaine afin de comprendre pourquoi l'autorisation a échoué. |
Étape suivante
- Consultez la section Configurer des certificats SSL.
- Assurez-vous de bien comprendre la connectivité client et la compatibilité des protocoles.
- Examinez la façon dont les connexions SSL (TLS) sont établies pour vos origines.