A causa mais comum de falha na emissão (ou renovação) é devido a registros DNS inválidos ou
ausentes, que impedem o Certificate Manager de
validar a propriedade do domínio.
Verifique se o registro DNS pode ser acessado pelo DNS público. O valor do registro CNAME _acme-challenge (o sublinhado é obrigatório) do seu domínio precisa retornar o valor fornecido no dnsResourceRecord.data de quando você criou a autorização. É possível usar o DNS público
do Google para verificar rapidamente se o registro é
resolúvel e válido.
Verifique se os domínios para os quais você está solicitando certificados
correspondem ou são subdomínios das autorizações que você está associando à
solicitação de certificado. Por exemplo, uma autorização para
media.example.com permite emitir certificados para
media.example.com, uk.media.example.com e
staging.media.example.com, mas nãowww.example.com.
Os registros CAA atuais no seu
domínio podem impedir que o Gerenciador de certificados emita certificados para
ele. Verifique se há um registro CAA para
pki.goog para permitir que o Google emita certificados para seus domínios autorizados.
Se o problema for devido a uma restrição de registro CAA, o campo failure_reason
na resposta da API conterá um valor de CAA.
Só é possível anexar certificados com escopo EDGE_CACHE a um serviço de cache do Edge. Se você não especificou explicitamente um escopo de EDGE_CACHE
ao criar o certificado, será necessário emiti-lo novamente
usando uma autorização de DNS existente.
Ao criar um certificado com vários nomes de domínio, qualquer autorização de domínio inválida
impede que o certificado seja emitido ou renovado. Isso garante
que todos os domínios solicitados sejam incluídos no certificado emitido.
Verifique se o registro DNS, o nome de domínio e a configuração do registro CAA são
válidos para cada um dos domínios associados a um certificado.
Motivos de falha
A tabela a seguir descreve os motivos de falha que podem ser retornados ao tentar emitir um certificado, as causas e as correções sugeridas:
Tipo
Erro
Etapas para a solução de problemas
Autorização de DNS
CONFIG
Não foi possível validar o certificado pelo DNS. Na maioria dos casos, isso
significa que o registro de DNS está ausente, é inválido (copiado incorretamente) ou
você está tentando emitir um certificado para um subdomínio que não é
filho do domínio autorizado.
Autorização de DNS
CAA
A emissão de certificados é proibida pelo conjunto atual de
[registros CAA](/media-cdn/docs/ssl-cerificates#caa-records-roots)
associados ao domínio ou o registro CAA pode ter sido
atualizado.
Autorização de DNS
RATE_LIMITED
(Incomum) Você pode estar emitindo certificados a uma taxa mais rápida do que a aceita
pela AC ou pelo domínio (por exemplo, dezenas por minuto ou mais).
Certificado
AUTHORIZATION_ISSUE
O domínio individual falhou na autorização. Verifique o valor de
managed.authorizationAttemptInfo.failureReason para o
domínio para entender por que a autorização pode ter falhado.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-27 UTC."],[],[],null,["# Troubleshoot certificate issuance\n\nThis page shows you how to resolve certificate issuance issues that might occur\nwhen you\n[issue and attach SSL (TLS) certificates](/media-cdn/docs/configure-ssl-certificates#issue-cert),\nor provision certificates with [DNS authorizations](/media-cdn/docs/ssl-certificates#dns-auth).\n\nTroubleshoot certificate issuance\n---------------------------------\n\nThe most common cause of failed issuance (or renewal) is due to invalid or\nmissing DNS records, which prevent Certificate Manager from\nvalidating domain ownership.\n\n- Check that the DNS record can be reached via public DNS. The value of the `_acme-challenge` CNAME record (the underscore is required) for your domain should return the value provided in the `dnsResourceRecord.data` from when you created the authorization. You can [use Google Public\n DNS](https://dns.google.com/) to quickly check that the record is resolvable and valid.\n- Ensure that the domains you are requesting certificates for either match, or are subdomains of, the authorizations you are associating with the certificate request. For example, an authorization for `media.example.com` allows you to issue certificates for `media.example.com`, `uk.media.example.com` and `staging.media.example.com`, but *not* `www.example.com`.\n- Existing [CAA records](/dns/docs/dnssec-advanced#caa) on your domain might prevent Certificate Manager from issuing certificates for your domain. You should ensure that there is a CAA record for `pki.goog` to allow Google to issue certificates for your authorized domains. If the issue is due to a CAA record restriction, the `failure_reason` field in the API response contains a value of `CAA`.\n- You can only attach certificates with scope `EDGE_CACHE` to an Edge Cache Service. If you did not explicitly specify a scope of `EDGE_CACHE` when creating the certificate, you must re-issue the certificate using an existing DNS authorization.\n\nWhen creating a certificate with multiple domain names, any invalid domain\nauthorization prevents the certificate from being issued or renewed. This ensures\nthat all of your requested domains are included in the issued certificate.\nMake sure that the DNS record, domain name, and CAA record configuration are\nvalid for each of the domains associated with a certificate.\n\nFailure reasons\n---------------\n\nThe following table describes the failure reasons that might be returned when\nattempting to issue a certificate, their causes, and suggested fixes:\n\nWhat's next\n-----------\n\n- Read [Configure SSL certificates](/media-cdn/docs/configure-ssl-certificates).\n- Understand [client connectivity](/media-cdn/docs/client-connectivity) and protocol support.\n- Review how SSL (TLS) [connections are made](/media-cdn/docs/origins#supported_origins_and_protocols) to your origins."]]
