本頁說明如何解決核發及附加 SSL (TLS) 憑證,或使用DNS 授權佈建憑證時,可能發生的憑證核發問題。
排解憑證核發問題
憑證核發 (或續發) 失敗最常見的原因,是因為 DNS 記錄無效或缺少,導致憑證管理工具無法驗證網域擁有權。
- 確認 DNS 記錄可透過公開 DNS 存取。網域的
_acme-challengeCNAME 記錄值 (必須使用底線) 應會傳回您建立授權時在dnsResourceRecord.data中提供的值。您可以使用 Google 公用 DNS,快速檢查記錄是否可解析且有效。 - 請確認您為其申請憑證的網域與憑證要求中所連結授權相符,或為其子網域。舉例來說,
media.example.com的授權可讓您為media.example.com、uk.media.example.com和staging.media.example.com核發憑證,但不為www.example.com核發憑證。 - 網域上的現有 CAA 記錄可能會導致憑證管理工具無法為網域核發憑證。請確認
pki.goog有 CAA 記錄,以便 Google 為您授權的網域核發憑證。如果問題是由於 CAA 記錄限制,API 回應中的failure_reason欄位會包含CAA值。 - 您只能將範圍為
EDGE_CACHE的憑證附加至 Edge Cache Service。如果您在建立憑證時未明確指定EDGE_CACHE的範圍,就必須使用現有的 DNS 授權重新發出憑證。
建立有多個網域名稱的憑證時,任何無效的網域授權都會導致憑證無法核發或續約。這可確保核發的憑證包含您要求的所有網域。請確認 DNS 記錄、網域名稱和 CAA 記錄設定,對於與憑證相關聯的每個網域都有效。
失敗原因
下表說明嘗試核發憑證時可能傳回的失敗原因、原因,以及建議的修正方式:
| 類型 | 錯誤 | 疑難排解步驟 |
|---|---|---|
| DNS 授權 | CONFIG | 我們無法透過 DNS 驗證憑證。在大多數情況下,這表示 DNS 記錄遺失或無效 (複製錯誤),或是您嘗試為非授權網域子項核發憑證。 |
| DNS 授權 | CAA | 目前的 [CAA 記錄](/media-cdn/docs/ssl-cerificates#caa-records-roots) 與網域相關聯,因此禁止核發憑證,或者 CAA 記錄可能剛更新過。 |
| DNS 授權 | RATE_LIMITED | (不常見) 您可能以比 CA 或網域所接受的速度更快的速度核發憑證 (例如每分鐘核發十個以上憑證)。 |
| 憑證 | AUTHORIZATION_ISSUE | 個別網域的授權失敗。請檢查網域的 managed.authorizationAttemptInfo.failureReason 值,瞭解授權失敗的原因。 |