Questa pagina mostra come risolvere i problemi di emissione dei certificati che potrebbero verificarsi quando emetti e alleghi certificati SSL (TLS) o esegui il provisioning dei certificati con le autorizzazioni DNS.
Risolvere i problemi relativi al rilascio dei certificati
La causa più comune dell'emissione (o del rinnovo) non riuscita è dovuta a record DNS non validi o mancanti, che impediscono a Certificate Manager di convalidare la proprietà del dominio.
- Verifica che il record DNS sia raggiungibile tramite DNS pubblico. Il valore del record CNAME
_acme-challenge(l'underscore è obbligatorio) per il tuo dominio deve restituire il valore fornito indnsResourceRecord.dataal momento della creazione dell'autorizzazione. Puoi utilizzare il DNS pubblico di Google per verificare rapidamente che il record sia risolvibile e valido. - Assicurati che i domini per i quali richiedi i certificati corrispondano alle autorizzazioni che associ alla richiesta del certificato o siano sottodomini di queste. Ad esempio, un'autorizzazione per
media.example.comti consente di emettere certificati permedia.example.com,uk.media.example.comestaging.media.example.com, ma non perwww.example.com. - I record CAA esistenti nel tuo dominio potrebbero impedire a Certificate Manager di emettere certificati per il tuo dominio. Devi assicurarti che esista un record CAA per
pki.googper consentire a Google di emettere certificati per i tuoi domini autorizzati. Se il problema è dovuto a una limitazione del record CAA, il campofailure_reasonnella risposta dell'API contiene il valoreCAA. - Puoi allegare certificati con ambito
EDGE_CACHEsolo a un servizio Edge Cache. Se non hai specificato esplicitamente un ambito diEDGE_CACHEdurante la creazione del certificato, devi riemettere il certificato utilizzando un'autorizzazione DNS esistente.
Quando crei un certificato con più nomi di dominio, qualsiasi autorizzazione di dominio non valida impedisce l'emissione o il rinnovo del certificato. In questo modo, tutti i domini richiesti sono inclusi nel certificato emesso. Assicurati che il record DNS, il nome di dominio e la configurazione del record CAA siano validi per ciascuno dei domini associati a un certificato.
Motivi dell'errore
La tabella seguente descrive i motivi di errore che potrebbero essere restituiti quando si tenta di emettere un certificato, le relative cause e le correzioni suggerite:
| Tipo | Errore | Procedura di risoluzione dei problemi |
|---|---|---|
| Autorizzazione DNS | CONFIG | Non è stato possibile convalidare il certificato tramite DNS. Nella maggior parte dei casi, questo significa che il record DNS non è presente, non è valido (copiato in modo errato) o stai tentando di emettere un certificato per un sottodominio che non è un sottodominio del dominio autorizzato. |
| Autorizzazione DNS | CAA | L'emissione del certificato è vietata dall'attuale insieme di [record CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots) associati al dominio oppure il record CAA potrebbe essere stato appena aggiornato. |
| Autorizzazione DNS | RATE_LIMITED | (Non comune) Potresti emettere certificati a una velocità superiore a quella accettata dalla CA o dal dominio (ad esempio, decine al minuto o più). |
| Certificato | AUTHORIZATION_ISSUE | L'autorizzazione del singolo dominio non è riuscita. Controlla il valore di managed.authorizationAttemptInfo.failureReason per il dominio per capire perché l'autorizzazione potrebbe non essere riuscita. |
Passaggi successivi
- Leggi l'articolo Configurare i certificati SSL.
- Scopri di più sulla connettività dei client e sul supporto dei protocolli.
- Controlla come vengono stabilite le connessioni SSL (TLS) alle origini.