本页介绍了如何解决在颁发和附加 SSL (TLS) 证书或使用 DNS 授权预配证书时可能发生的证书颁发问题。
排查证书颁发问题
导致颁发(或续订)失败的最常见原因是 DNS 记录无效或缺失,这会导致证书管理器无法验证域名所有权。
- 检查是否可以通过公共 DNS 访问 DNS 记录。网域的
_acme-challengeCNAME 记录(必须包含下划线)的值应返回您在创建授权时在dnsResourceRecord.data中提供的值。您可以使用 Google 公共 DNS 快速检查记录是否可解析且有效。 - 请确保您要为哪些网域申请证书与您要与证书请求关联的授权相匹配,或者是这些授权的子网域。例如,
media.example.com的授权可让您为media.example.com、uk.media.example.com和staging.media.example.com颁发证书,但不能为www.example.com颁发证书。 - 您网域上的现有 CAA 记录可能会阻止证书管理器为您的网域颁发证书。您应确保
pki.goog具有 CAA 记录,以允许 Google 为您已获授权的网域颁发证书。如果问题是由于 CAA 记录限制而导致的,API 响应中的failure_reason字段将包含值CAA。 - 您只能将范围为
EDGE_CACHE的证书附加到边缘缓存服务。如果您在创建证书时未明确指定EDGE_CACHE的范围,则必须使用现有的 DNS 授权重新签发证书。
创建包含多个域名的证书时,任何无效的网域授权都会导致证书无法颁发或续订。这样可以确保已颁发的证书中包含您请求的所有网域。确保与证书关联的每个网域的 DNS 记录、域名和 CAA 记录配置均有效。
失败原因
下表介绍了尝试颁发证书时可能会返回的失败原因、原因以及建议的解决方法:
| 类型 | 错误 | 问题排查步骤 |
|---|---|---|
| DNS 授权 | CONFIG | 我们无法通过 DNS 验证证书。在大多数情况下,这表示 DNS 记录缺失、无效(复制不正确),或者您尝试为不是授权网域的子网域颁发证书。 |
| DNS 授权 | CAA | 与网域关联的当前 [CAA 记录](/media-cdn/docs/ssl-cerificates#caa-records-roots) 禁止颁发证书,或者 CAA 记录可能刚刚更新完毕。 |
| DNS 授权 | RATE_LIMITED | (不常见)您发放证书的速度可能比 CA 或网域接受的速度更快(例如,每分钟发放数十个证书或更多)。 |
| 证书 | AUTHORIZATION_ISSUE | 单个网域未通过授权。检查域名的 managed.authorizationAttemptInfo.failureReason 值,了解授权可能失败的原因。 |
后续步骤
- 请参阅配置 SSL 证书。
- 了解客户端连接和协议支持。
- 查看如何与您的来源建立 SSL (TLS) 连接。