Penyebab paling umum kegagalan penerbitan (atau perpanjangan) adalah karena data DNS yang tidak valid atau tidak ada, yang mencegah Pengelola Sertifikat memvalidasi kepemilikan domain.
Pastikan data DNS dapat dijangkau melalui DNS publik. Nilai
data CNAME _acme-challenge (garis bawah diperlukan) untuk
domain Anda harus menampilkan nilai yang diberikan di dnsResourceRecord.data
sejak Anda membuat otorisasi. Anda dapat menggunakan DNS Publik
Google untuk memeriksa dengan cepat apakah data tersebut
dapat di-resolve dan valid.
Pastikan domain yang Anda minta sertifikatnya cocok dengan, atau merupakan subdomain dari, otorisasi yang Anda kaitkan dengan permintaan sertifikat. Misalnya, otorisasi untuk
media.example.com memungkinkan Anda menerbitkan sertifikat untuk
media.example.com, uk.media.example.com, dan
staging.media.example.com, tetapi tidakwww.example.com.
Data CAA yang ada di domain Anda
mungkin mencegah Pengelola Sertifikat menerbitkan sertifikat untuk
domain Anda. Anda harus memastikan bahwa ada data CAA untuk
pki.goog agar Google dapat menerbitkan sertifikat untuk domain yang Anda izinkan.
Jika masalahnya disebabkan oleh pembatasan data CAA, kolom failure_reason
dalam respons API akan berisi nilai CAA.
Anda hanya dapat melampirkan sertifikat dengan cakupan EDGE_CACHE ke Layanan
Cache Edge. Jika Anda tidak menentukan cakupan EDGE_CACHE secara eksplisit
saat membuat sertifikat, Anda harus menerbitkan ulang sertifikat
menggunakan otorisasi DNS yang ada.
Saat membuat sertifikat dengan beberapa nama domain, otorisasi domain yang tidak valid akan mencegah sertifikat dikeluarkan atau diperpanjang. Tindakan ini memastikan bahwa semua domain yang Anda minta disertakan dalam sertifikat yang diterbitkan.
Pastikan konfigurasi data DNS, nama domain, dan data CAA valid untuk setiap domain yang terkait dengan sertifikat.
Alasan kegagalan
Tabel berikut menjelaskan alasan kegagalan yang mungkin ditampilkan saat
mencoba menerbitkan sertifikat, penyebabnya, dan perbaikan yang disarankan:
Jenis
Error
Langkah-Langkah Pemecahan Masalah
Otorisasi DNS
CONFIG
Kami tidak dapat memvalidasi sertifikat melalui DNS. Biasanya, hal ini
berarti data DNS tidak ada, tidak valid (salah disalin), atau
Anda mencoba menerbitkan sertifikat untuk subdomain yang bukan
turunan dari domain resmi.
Otorisasi DNS
CAA
Penerbitan sertifikat dilarang oleh kumpulan [data CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) saat ini yang terkait dengan domain atau data CAA mungkin baru saja diperbarui.
Otorisasi DNS
RATE_LIMITED
(Jarang terjadi) Anda mungkin menerbitkan sertifikat dengan kecepatan yang lebih cepat daripada yang diterima
oleh CA atau domain (misalnya, puluhan per menit atau lebih).
Sertifikat
AUTHORIZATION_ISSUE
Otorisasi domain individual gagal. Periksa nilai
managed.authorizationAttemptInfo.failureReason untuk
domain guna memahami alasan kegagalan otorisasi.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-09-04 UTC."],[],[],null,["# Troubleshoot certificate issuance\n\nThis page shows you how to resolve certificate issuance issues that might occur\nwhen you\n[issue and attach SSL (TLS) certificates](/media-cdn/docs/configure-ssl-certificates#issue-cert),\nor provision certificates with [DNS authorizations](/media-cdn/docs/ssl-certificates#dns-auth).\n\nTroubleshoot certificate issuance\n---------------------------------\n\nThe most common cause of failed issuance (or renewal) is due to invalid or\nmissing DNS records, which prevent Certificate Manager from\nvalidating domain ownership.\n\n- Check that the DNS record can be reached via public DNS. The value of the `_acme-challenge` CNAME record (the underscore is required) for your domain should return the value provided in the `dnsResourceRecord.data` from when you created the authorization. You can [use Google Public\n DNS](https://dns.google.com/) to quickly check that the record is resolvable and valid.\n- Ensure that the domains you are requesting certificates for either match, or are subdomains of, the authorizations you are associating with the certificate request. For example, an authorization for `media.example.com` allows you to issue certificates for `media.example.com`, `uk.media.example.com` and `staging.media.example.com`, but *not* `www.example.com`.\n- Existing [CAA records](/dns/docs/dnssec-advanced#caa) on your domain might prevent Certificate Manager from issuing certificates for your domain. You should ensure that there is a CAA record for `pki.goog` to allow Google to issue certificates for your authorized domains. If the issue is due to a CAA record restriction, the `failure_reason` field in the API response contains a value of `CAA`.\n- You can only attach certificates with scope `EDGE_CACHE` to an Edge Cache Service. If you did not explicitly specify a scope of `EDGE_CACHE` when creating the certificate, you must re-issue the certificate using an existing DNS authorization.\n\nWhen creating a certificate with multiple domain names, any invalid domain\nauthorization prevents the certificate from being issued or renewed. This ensures\nthat all of your requested domains are included in the issued certificate.\nMake sure that the DNS record, domain name, and CAA record configuration are\nvalid for each of the domains associated with a certificate.\n\nFailure reasons\n---------------\n\nThe following table describes the failure reasons that might be returned when\nattempting to issue a certificate, their causes, and suggested fixes:\n\nWhat's next\n-----------\n\n- Read [Configure SSL certificates](/media-cdn/docs/configure-ssl-certificates).\n- Understand [client connectivity](/media-cdn/docs/client-connectivity) and protocol support.\n- Review how SSL (TLS) [connections are made](/media-cdn/docs/origins#supported_origins_and_protocols) to your origins."]]
