证书签发失败有哪些常见原因?
1. 当前域名存在 CAA 解析记录
域名所有者设置了 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书,CA 机构在颁发 SSL 证书时会遵循域名 CAA 记录,如果发现未获得授权,将拒绝为该域名颁发 SSL 证书。
说明:
什么是 CAA 解析记录?
CAA(Certification Authority Authorization,证书颁发机构授权)是一项降低 SSL 证书错误颁发的控制措施,CA 机构从2017年9月8日起颁发 SSL 证书时会严格执行 CAA 强制性检查。域名管理者可在域名解析设置 CAA 记录。
解决方案
说明:
若您的域名是在其他服务商解析,请前往对应的平台进行处理。
注意:
使用 GitHub Page 服务把域名 CNAME 到 github.io域名,会同步引用 github.io 的 CAA 策略从而影响到证书的签发。针对这种特殊情况,您可以在证书签发前暂停该 CNAME 记录,或将 CAA 记录加上 trust-provider.com、globalsign.com 、sectigo.com。
2. 文件验证,域名站点未支持境外访问
证书绑定域名的网站限制境外 IP 访问,由于国际证书的 CA 机构基本是境外机构,CA 机构无法进行文件扫描审核,导致证书签发失败。
解决方案
请确保 Web 网站端口号设置为80或443,所有地区均能匹配到验证值。如您的服务器限制境外访问,需要将 CA 机构的 IP 加入访问白名单,证书颁发完成或域名信息审核通过后,文件和目录即可清除。
说明:
CA 机构常用 IP:
91.199.212.132、91.199.212.133、91.199.212.148、91.199.212.151、91.199.212.176、54.189.196.217
3. 证书申请涉及高风险,已进行人工复核
您申请的证书未通过证书的签发机构风控系统检测,可能原因:绑定的域名疑似涉及行业品牌、行业商标、违禁词等风控敏感词。所以该证书进入人工复审阶段(非腾讯云审核)。
解决方案
为什么收到 CA 机构的通知,但订单状态没有变化?
在资料审核环节和证书颁发环节,CA 机构可能会发送一封邮件通知您申请证书的进展。如果您发现腾讯云 SSL 证书控制台中的订单状态还没有发生变化,这是由于 CA 机构给腾讯云推送的订单状态会有延迟,建议您耐心等待一段时间才能看到订单的状态变化。
