En esta página, se muestra cómo resolver los problemas de emisión de certificados que pueden ocurrir cuando emites y adjuntas certificados SSL (TLS), o aprovisionas certificados con autorizaciones de DNS.
Solucionar problemas relacionados con la emisión de certificados
La causa más común de la falla en la emisión (o renovación) se debe a registros DNS no válidos o faltantes, lo que impide que Administrador de certificados valide la propiedad del dominio.
- Verifica que se pueda acceder al registro DNS a través del DNS público. El valor del registro CNAME
_acme-challenge(se requiere el guion bajo) para tu dominio debe mostrar el valor proporcionado endnsResourceRecord.datadesde que creaste la autorización. Puedes usar el DNS público de Google para verificar rápidamente que el registro sea resoluble y válido. - Asegúrate de que los dominios para los que solicitas certificados coincidan con las autorizaciones que asocias con la solicitud de certificado o sean subdominios de estas. Por ejemplo, una autorización para
media.example.comte permite emitir certificados paramedia.example.com,uk.media.example.comystaging.media.example.com, pero nowww.example.com. - Los registros CAA existentes en tu
dominio pueden impedir que Administrador de certificados emita certificados para
tu dominio. Debes asegurarte de que haya un registro CAA para
pki.googpara permitir que Google emita certificados para tus dominios autorizados. Si el problema se debe a una restricción de registro CAA, el campofailure_reasonen la respuesta de la API contiene un valor deCAA. - Solo puedes adjuntar certificados con el alcance
EDGE_CACHEa un servicio de caché perimetral. Si no especificaste explícitamente un alcance deEDGE_CACHEcuando creaste el certificado, debes volver a emitirlo con una autorización de DNS existente.
Cuando se crea un certificado con varios nombres de dominio, cualquier autorización de dominio no válida impide que se emita o renueve el certificado. Esto garantiza que todos los dominios solicitados se incluyan en el certificado emitido. Asegúrate de que el registro DNS, el nombre de dominio y la configuración del registro CAA sean válidos para cada uno de los dominios asociados con un certificado.
Motivo de la falla
En la siguiente tabla, se describen los motivos de la falla que se pueden mostrar cuando se intenta emitir un certificado, sus causas y las soluciones sugeridas:
| Tipo | Error | Pasos para solucionar problemas |
|---|---|---|
| Autorización de DNS | CONFIG | No pudimos validar el certificado a través de DNS. En la mayoría de los casos, esto significa que falta el registro DNS, no es válido (se copió de forma incorrecta) o intentas emitir un certificado para un subdominio que no es secundario del dominio autorizado. |
| Autorización de DNS | CAA | La emisión del certificado está prohibida por el conjunto actual de [registros CAA](/media-cdn/docs/ssl-certificates#caa-records-roots) asociados con el dominio, o es posible que el registro CAA se haya actualizado recientemente. |
| Autorización de DNS | RATE_LIMITED | (Poco común) Es posible que estés emitiendo certificados a una velocidad más rápida que la aceptada por la CA o el dominio (por ejemplo, decenas por minuto o más). |
| Certificado | AUTHORIZATION_ISSUE | El dominio individual no pasó la autorización. Verifica el valor de managed.authorizationAttemptInfo.failureReason para el dominio para comprender por qué podría haber fallado la autorización. |
¿Qué sigue?
- Lee Configura certificados SSL.
- Comprende la conectividad del cliente y la compatibilidad con protocolos.
- Revisa cómo se realizan las conexiones SSL (TLS) a tus orígenes.