SSL证书常见的签发失败原因有哪些?
1. 域名解析时:解析未生效或者当前域名存在 CAA 解析记录
(1)情况1:DNS解析一般需要0~72小时生效时间,如果DNS未生效将无法验证其值是否一致。
(2)情况2:域名所有者设置了 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书,CA 机构在颁发 SSL 证书时会遵循域名 CAA 记录,如果发现未获得授权,将拒绝为该域名颁发 SSL 证书。
解决方案
(1)情况1的,添加者需要按照要求核对并重新添加DNS解析。证书签发后,删除其解析即可。
(2)情况2的,域名所有者前往域名解析平台将 CAA 解析记录删除或将证书 CA 机构名称加入 CAA 解析记录,操作完成后重新申请证书。
说明:什么是 CAA 解析记录?
CAA(Certification Authority Authorization,证书颁发机构授权)是一项降低 SSL 证书错误颁发的控制措施,CA 机构从2017年9月8日起颁发 SSL 证书时会严格执行 CAA 强制性检查。域名管理者可在域名解析设置 CAA 记录。
2. 文件验证时:域名站点禁止了境外访问
证书绑定域名的网站限制境外 IP 访问,由于国际证书的 CA 机构基本是境外机构,CA 机构无法进行文件扫描审核,导致证书签发失败。
解决方案
请确保 Web 网站端口号设置为80或443,所有地区均能匹配到验证值。如您的服务器限制境外访问,请先临时开启限制,或者将 CA 机构的 IP 加入访问白名单,证书颁发完成或域名信息审核通过后,文件和目录即可清除。