Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Resolver problemas de emissão de certificados

Esta página mostra como resolver problemas de emissão de certificados que podem ocorrer ao emitir e anexar certificados SSL (TLS), ou provisionar certificados com autorizações de DNS.

Resolver problemas de emissão de certificados

A causa mais comum de falha na emissão (ou renovação) é devido a registros DNS inválidos ou ausentes, que impedem que o Certificate Manager valide a propriedade do domínio.

Verifique se o registro DNS pode ser acessado pelo DNS público. O valor do registro CNAME _acme-challenge (o sublinhado é obrigatório) do seu domínio precisa retornar o valor fornecido em dnsResourceRecord.data de quando você criou a autorização. É possível usar o DNS público do Google para verificar rapidamente se o registro é resolúvel e válido.
Verifique se os domínios para os quais você está solicitando certificados correspondem ou são subdomínios das autorizações associadas à solicitação de certificado. Por exemplo, uma autorização para media.example.com permite emitir certificados para media.example.com, uk.media.example.com e staging.media.example.com, mas não www.example.com.
Os registros CAA atuais no seu domínio podem impedir que o Gerenciador de certificados emita certificados para ele. Verifique se há um registro CAA para pki.goog para permitir que o Google emita certificados para seus domínios autorizados. Se o problema for devido a uma restrição de registro CAA, o campo failure_reason na resposta da API vai conter um valor de CAA.
Só é possível anexar certificados com escopo EDGE_CACHE a um serviço de cache de borda. Se você não especificou explicitamente um escopo de EDGE_CACHE ao criar o certificado, será necessário reemitir o certificado usando uma autorização de DNS atual.

Ao criar um certificado com vários nomes de domínio, qualquer autorização de domínio inválida impede que o certificado seja emitido ou renovado. Isso garante que todos os domínios solicitados sejam incluídos no certificado emitido. Verifique se o registro DNS, o nome de domínio e a configuração do registro CAA são válidos para cada um dos domínios associados a um certificado.

Motivos da falha

A tabela a seguir descreve os motivos da falha que podem ser retornados ao tentar emitir um certificado, as causas e as correções sugeridas:

Tipo	Erro	Etapas da solução de problemas
Autorização de DNS	CONFIG	Não foi possível validar o certificado pelo DNS. Na maioria dos casos, isso significa que o registro DNS está ausente, inválido (copiado incorretamente) ou você está tentando emitir um certificado para um subdomínio que não é filho do domínio autorizado.
Autorização de DNS	CAA	A emissão de certificado é proibida pelo conjunto atual de [registros CAA](/media-cdn/docs/ssl-certificates#caa-records-roots) associados ao domínio, ou o registro CAA pode ter sido atualizado recentemente.
Autorização de DNS	RATE_LIMITED	(Incomum) Você pode estar emitindo certificados em uma taxa mais rápida do que a aceita pela CA ou pelo domínio (por exemplo, dezenas por minuto ou mais).
Certificado	AUTHORIZATION_ISSUE	O domínio individual falhou na autorização. Verifique o valor de managed.authorizationAttemptInfo.failureReason para o domínio para entender por que a autorização pode ter falhado.

A seguir

Leia Configurar certificados SSL.
Entenda a conectividade do cliente e o suporte a protocolos.
Analise como as conexões SSL (TLS) são feitas às suas origens.

Resolver problemas de emissão de certificados Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.