本页面介绍如何解决在颁发和附加 SSL (TLS) 证书或使用 DNS 授权预配证书时可能出现的证书颁发问题。
排查证书颁发问题
颁发(或续订)失败的最常见原因是 DNS 记录无效或缺失,这会导致 Certificate Manager 无法验证网域所有权。
- 检查是否可以通过公共 DNS 访问 DNS 记录。您网域的
_acme-challengeCNAME 记录(下划线是必需的)的值应返回您创建授权时dnsResourceRecord.data中提供的值。您可以使用 Google 公共 DNS 快速检查该记录是否 可解析且有效。 - 确保您要为其申请证书的网域与您要与证书请求关联的授权相匹配,或者属于这些授权的子网域。例如,
media.example.com的授权允许您为media.example.com、uk.media.example.com和staging.media.example.com颁发证书,但不允许 为www.example.com颁发证书。 - 您网域中现有的 CAA 记录 可能会阻止 Certificate Manager 为
您的网域颁发证书。您应确保为
pki.goog提供 CAA 记录,以允许 Google 为您的授权网域颁发证书。 如果问题是由于 CAA 记录限制所致,则 API 响应中的failure_reason字段包含值CAA。 - 您只能将范围为
EDGE_CACHE的证书附加到 Edge Cache Service。如果您在创建证书时未明确指定范围EDGE_CACHE,则必须使用现有 DNS 授权重新颁发证书。
使用多个域名创建证书时,任何无效的网域授权都会阻止证书的颁发或续订。这可确保您请求的所有网域都包含在颁发的证书中。 确保与证书关联的每个网域的 DNS 记录、域名和 CAA 记录配置均有效。
失败原因
下表介绍了尝试颁发证书时可能会返回的失败原因、这些原因的成因以及建议的修复方法:
| 类型 | 错误 | 问题排查步骤 |
|---|---|---|
| DNS 授权 | CONFIG | 我们无法通过 DNS 验证证书。在大多数情况下,这意味着 DNS 记录缺失、无效(复制不正确),或者您尝试为不是授权网域的子网域颁发证书。 |
| DNS 授权 | CAA | 与网域关联的当前 [CAA 记录集](/media-cdn/docs/ssl-certificates#caa-records-roots) 禁止颁发证书,或者 CAA 记录可能刚刚更新。 |
| DNS 授权 | RATE_LIMITED | (不常见)您可能以比 CA 或网域接受的速度更快的速度颁发证书(例如,每分钟颁发数十个或更多证书)。 |
| 证书 | AUTHORIZATION_ISSUE | 单个网域授权失败。检查网域的 managed.authorizationAttemptInfo.failureReason 值,了解授权可能失败的原因。 |