本頁說明如何解決核發及附加 SSL (TLS) 憑證,或使用 DNS 授權佈建憑證時,可能發生的憑證核發問題。
排解憑證核發問題
無法核發 (或續訂) 憑證最常見的原因是 DNS 記錄無效或遺失,導致 Certificate Manager 無法驗證網域擁有權。
- 確認可透過公用 DNS 存取 DNS 記錄。網域的
_acme-challengeCNAME 記錄值 (必須加上底線) 應傳回您在建立授權時,dnsResourceRecord.data中提供的值。您可以使用 Google 公用 DNS 快速檢查記錄是否可解析且有效。 - 請確認您要求憑證的網域與您要與憑證要求建立關聯的授權相符,或是授權的子網域。舉例來說,
media.example.com的授權可讓您為media.example.com、uk.media.example.com和staging.media.example.com核發憑證,但無法為www.example.com核發憑證。 - 網域上現有的 CAA 記錄可能會導致 Certificate Manager 無法為網域核發憑證。請確認
pki.goog有 CAA 記錄,允許 Google 為授權網域核發憑證。如果問題是因 CAA 記錄限制所致,API 回應中的failure_reason欄位會包含CAA值。 - 您只能將範圍為
EDGE_CACHE的憑證附加至 Edge 快取服務。如果您在建立憑證時未明確指定EDGE_CACHE範圍,則必須使用現有的 DNS 授權重新核發憑證。
建立含有多個網域名稱的憑證時,如果網域授權無效,系統就無法核發或續約憑證。這可確保核發的憑證包含所有要求的網域。請確認與憑證相關聯的每個網域,其 DNS 記錄、網域名稱和 CAA 記錄設定都有效。
失敗原因
下表說明嘗試核發憑證時可能傳回的失敗原因、原因和建議修正方式:
| 類型 | 錯誤 | 疑難排解步驟 |
|---|---|---|
| DNS 授權 | CONFIG | 我們無法透過 DNS 驗證憑證。在大多數情況下,這表示 DNS 記錄遺失、無效 (複製錯誤),或是您嘗試為非授權網域子項的子網域核發憑證。 |
| DNS 授權 | CAA | 網域目前的一組 [憑證授權單位授權 (CAA) 記錄](/media-cdn/docs/ssl-certificates#caa-records-roots)禁止核發憑證,或 CAA 記錄可能才剛更新。 |
| DNS 授權 | RATE_LIMITED | (不常見) 您核發憑證的速度可能比 CA 或網域接受的速度快 (例如每分鐘數十張以上)。 |
| 憑證 | AUTHORIZATION_ISSUE | 個別網域授權失敗。檢查網域的 managed.authorizationAttemptInfo.failureReason 值,瞭解授權可能失敗的原因。 |
後續步驟
- 請參閱「設定 SSL 憑證」。
- 瞭解用戶端連線和通訊協定支援。
- 查看如何建立 SSL (TLS) 連線至來源。