Questa pagina spiega come risolvere i problemi di emissione dei certificati che potrebbero verificarsi quando emetti e alleghi certificati SSL (TLS), o esegui il provisioning dei certificati con le autorizzazioni DNS.
Risolvere i problemi di emissione dei certificati
La causa più comune di un'emissione (o un rinnovo) non riuscito è dovuta a record DNS non validi o mancanti, che impediscono a Certificate Manager di convalidare la proprietà del dominio.
- Verifica che il record DNS sia raggiungibile tramite DNS pubblico. Il valore del record CNAME
_acme-challenge(il trattino basso è obbligatorio) per il tuo dominio deve restituire il valore fornito indnsResourceRecord.dataal momento della creazione dell'autorizzazione. Puoi utilizzare Google Public DNS per verificare rapidamente che il record sia risolvibile e valido. - Assicurati che i domini per cui richiedi i certificati corrispondano alle autorizzazioni associate alla richiesta di certificato o siano sottodomini di queste. Ad esempio, un'autorizzazione per
media.example.comti consente di emettere certificati permedia.example.com,uk.media.example.comestaging.media.example.com, ma nonwww.example.com. - I record CAA esistenti nel tuo
dominio potrebbero impedire a Certificate Manager di emettere certificati per
il tuo dominio. Devi assicurarti che esista un record CAA per
pki.googper consentire a Google di emettere certificati per i tuoi domini autorizzati. Se il problema è dovuto a una limitazione del record CAA, il campofailure_reasonnella risposta dell'API contiene il valoreCAA. - Puoi allegare solo i certificati con ambito
EDGE_CACHEa un servizio Edge Cache. Se non hai specificato in modo esplicito un ambitoEDGE_CACHEdurante la creazione del certificato, devi riemettere il certificato utilizzando un'autorizzazione DNS esistente.
Quando crei un certificato con più nomi di dominio, qualsiasi autorizzazione di dominio non valida impedisce l'emissione o il rinnovo del certificato. In questo modo, tutti i domini richiesti vengono inclusi nel certificato emesso. Assicurati che il record DNS, il nome di dominio e la configurazione del record CAA siano validi per ciascuno dei domini associati a un certificato.
Motivi dell'errore
La tabella seguente descrive i motivi dell'errore che potrebbero essere restituiti quando tenti di emettere un certificato, le relative cause e le correzioni suggerite:
| Tipo | Errore | Passaggi per la risoluzione dei problemi |
|---|---|---|
| Autorizzazione DNS | CONFIG | Non è stato possibile convalidare il certificato tramite DNS. Nella maggior parte dei casi, ciò significa che il record DNS è mancante, non valido (copiato in modo errato) o stai tentando di emettere un certificato per un sottodominio che non è un figlio del dominio autorizzato. |
| Autorizzazione DNS | CAA | L'emissione del certificato è vietata dal set corrente di [record CAA](/media-cdn/docs/ssl-certificates#caa-records-roots) associati al dominio oppure il record CAA potrebbe essere stato aggiornato di recente. |
| Autorizzazione DNS | RATE_LIMITED | (Non comune) Potresti emettere certificati a una velocità superiore a quella accettata dalla CA o dal dominio (ad esempio, decine al minuto o più). |
| Certificato | AUTHORIZATION_ISSUE | L'autorizzazione del singolo dominio non è riuscita. Controlla il valore di managed.authorizationAttemptInfo.failureReason per il dominio per capire perché l'autorizzazione potrebbe non essere riuscita. |
Passaggi successivi
- Leggi Configurare i certificati SSL.
- Scopri di più sulla connettività client e sul supporto dei protocolli.
- Esamina come vengono stabilite le connessioni SSL (TLS) alle tue origini.