Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

פתרון בעיות בהנפקת אישורים

בדף הזה מוסבר איך לפתור בעיות בהנפקת אישורים שיכולות לקרות כשמנפיקים ומצרפים אישורי SSL (TLS) או כשמנפיקים אישורים באמצעות הרשאות DNS.

פתרון בעיות בהנפקת אישורים

הסיבה הכי נפוצה לכשל בהנפקה (או בחידוש) היא רשומות DNS לא תקינות או חסרות, שמונעות מ-Certificate Manager לאמת את הבעלות על הדומיין.

בודקים שאפשר להגיע לרשומת ה-DNS דרך DNS ציבורי. הערך של רשומת CNAME‏ _acme-challenge (חובה להשתמש בקו תחתון) עבור הדומיין שלכם צריך להחזיר את הערך שצוין ב-dnsResourceRecord.data כשנוצר האישור. אתם יכולים להשתמש ב-Google Public DNS כדי לבדוק במהירות שאפשר לפתור את הרשומה והיא תקפה.
חשוב לוודא שהדומיינים שאתם מבקשים בשבילם אישורים תואמים להרשאות שאתם משייכים לבקשת האישור, או שהם תתי-דומיינים של ההרשאות האלה. לדוגמה, הרשאה ל-media.example.com מאפשרת להנפיק אישורים ל-media.example.com, ל-uk.media.example.com ול-staging.media.example.com, אבל לא ל-www.example.com.
יכול להיות שרשומות CAA קיימות בדומיין שלכם ימנעו מ-Certificate Manager להנפיק אישורים לדומיין. כדי לאפשר ל-Google להנפיק אישורים לדומיינים המורשים שלכם, צריך לוודא שיש רשומת CAA עבור pki.goog. אם הבעיה נובעת מהגבלה של רשומת CAA, השדה failure_reason בתגובת ה-API מכיל את הערך CAA.
אפשר לצרף לשירות EdgeCache רק אישורים עם היקף EDGE_CACHE. אם לא ציינתם במפורש היקף של EDGE_CACHE כשיצרתם את האישור, אתם צריכים להנפיק מחדש את האישור באמצעות הרשאת DNS קיימת.

כשיוצרים אישור עם כמה שמות דומיין, כל הרשאה לא חוקית של דומיין מונעת את הנפקת האישור או את חידושו. כך מוודאים שכל הדומיינים שביקשתם כלולים באישור שהונפק. מוודאים שרשומת ה-DNS, שם הדומיין וההגדרה של רשומת ה-CAA תקינים לכל אחד מהדומיינים שמשויכים לאישור.

הסיבות לכישלון

בטבלה הבאה מתוארות הסיבות האפשריות לכישלון שמוחזרות כשמנסים להנפיק אישור, הסיבות לכישלון והתיקונים המוצעים:

סוג	שגיאה	שלבים לפתרון בעיות
אימות DNS	CONFIG	לא הצלחנו לאמת את האישור באמצעות DNS. ברוב המקרים, המשמעות היא שרשומת ה-DNS חסרה, לא חוקית (הועתקה בצורה שגויה) או שאתם מנסים להנפיק אישור לדומיין משנה שלא שייך לדומיין המורשה.
אימות DNS	CAA	הנפקת האישור אסורה לפי קבוצת [רשומות ה-CAA](/media-cdn/docs/ssl-certificates#caa-records-roots) הנוכחית שמשויכת לדומיין, או שהרשומה עודכנה ממש לאחרונה.
אימות DNS	RATE_LIMITED	(לא נפוץ) יכול להיות שאתם מנפיקים אישורים בקצב מהיר יותר מהקצב שמקובל על רשות האישורים או הדומיין (לדוגמה, עשרות אישורים בדקה או יותר).
אישור	AUTHORIZATION_ISSUE	ההרשאה של הדומיין הספציפי נכשלה. כדי להבין למה יכול להיות שההרשאה נכשלה, בודקים את הערך של managed.authorizationAttemptInfo.failureReason בדומיין.

המאמרים הבאים

מידע נוסף על הגדרת אישורי SSL
הסבר על קישוריות לקוח ותמיכה בפרוטוקולים.
כדאי לבדוק איך נוצרים חיבורים מסוג SSL‏ (TLS) למקורות שלכם.

פתרון בעיות בהנפקת אישורים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.