申请证书审核失败的原因及处理方法
本文主要介绍申请证书审核失败的可能原因和解决方法。
验证文件配置错误
说明
建议您执行
curl -k -v 命令或者 wget -S 命令验证文件 URL 是否生效。同时,需要分别对 HTTPS 和 HTTP 两种协议的 URL 进行验证。问题原因:
如果您在提交 SSL 证书审核时使用文件验证方式进行域名验证,可能会因为此问题造成订单审核失败。该场景下的 SSL 证书审核申请失败的可能原因如下:
站点部分页面已启用 HTTPS 访问方式,而验证文件仅部署在 HTTP 服务路径下,并没有部署在 HTTPS 服务路径下,导致用 HTTPS 协议请求时找不到对应的文件。
访问验证文件时,站点返回错误代码。
启用了 CDN 服务,而 CDN 服务节点未完成境外同步。
解决方法:
将验证文件部署在 HTTP 及 HTTPS 服务路径下,确认可以通过 HTTPS 协议访问。或者暂时关闭该站点所有页面的 HTTPS 服务。
确认通过 CA 机构中心指定的验证文件 URL 能够直接访问到正确的验证文件内容,并确认最终的验证文件不是通过重定向等方式显示在 Web 浏览器中。
说明
可通过浏览器地址是否发生变化来检测是否存在重定向。
将验证文件同步到境外 CDN 服务节点,或者临时关闭 CDN 境外加速服务。
说明
如果无法对 CDN 节点服务器进行变更操作,建议您改用 DNS 验证方式进行域名验证。
DNS 配置错误
问题原因
如果您在提交 SSL 证书审核时使用 DNS 验证方式进行域名验证,可能会因为此问题造成订单审核失败。该场景下的 SSL 证书审核申请失败可能存在的部分原因如下:
DNS 解析记录值配置错误。
使用部分域名解析服务商的服务时,因域名解析服务商对不存在的主机记录的查询返回值与预期的返回值不同,导致CA 机构中心验证返回值不准确。
DNS 解析记录超时,您提交申请信息后。您将有3个自然日时间完成 DNS 解析记录的添加,否则审核将会失败。
启用了动态域名解析服务,相应的解析记录值未能及时同步到境外权威 DNS 服务器。
解决方法
配置正确的 DNS 主机记录及记录值。
忽略域名解析设置提示的相关错误,按要求配置 DNS 的解析记录,完成域名验证。
重新提交申请信息,并在3个自然日时间内完成 DNS 解析记录的添加。
请确认动态解析服务正常,并确保境外的解析服务能够正常解析新增的解析记录。
说明
修改已存在的记录值时,解析记录值会根据 TTL 值决定生效时间,而新增记录值则可以很快生效。因此建议您通过新增记录值完成验证。待域名验证通过后,可删除相关的解析记录信息。
单位的电话号码不能为空或不正确
当您申请 OV、EV 类型数字证书时,如果您未填写单位电话号码,将收到该审核失败信息。
问题原因
OV、EV 类型证书产品,单位电话号码为必填字段。当单位电话号码为空、或填写不符合规则时,需要重新填写。
解决方法
请填写能够及时联系到您的单位电话号码,以确保在 CA 机构中心进行组织信息验证时能够联系到您。
CSR 文件已用于其他订单
问题原因
出于证书密钥安全考虑,在请求一个全新的订单时,不允许使用之前已使用过的 CSR 信息。
解决方法
如果之前已使用一个 CSR 文件成功提交过订单,在后续的新订单中,请重新生成新的 CSR 文件。确保每张 SSL 证书都有其唯一的密钥对,有助于提升证书应用中的安全性。
证书绑定的域名格式不正确
问题原因
合法的域名仅允许包含字母 + 数字 + “-”的任意组合,且域名的最大长度不得超过64个字符。
解决方法
请检查 CSR 请求文件及订单中填写的域名信息,确保您使用了正确的域名提交订单。
主域名不能为空
问题原因
创建 CSR 文件时未正确填写
Common Name 字段。说明
Common Name 必须是绑定域名中的其中一个域名。解决方法
建议您使用系统提供的在线生成 CSR 文件功能。
域名安全审核失败
当您申请 SSL 证书时,您可能收到审核失败提示。
提示如下:
抱歉,该域名未通过 CA 机构安全审查,无法申请域名型证书。请购买企业型或增强型证书,您也可尝试使用其他域名申请证书。
问题原因
由于 CA 机构的反钓鱼机制,一般是域名信息中包含敏感词,例如 bank、pay 等,会引起安全审查失败,具体敏感词由 CA 机构定义,同时部分不常用的根域名也可能会审核失败,例如,
www.qq.pw、www.qcloud.pw 等以 .pw 根域名后缀的无法通过审核。
以下为可能导致无法通过的域名敏感词汇,仅作示例,具体由 CA 机构定义:内、外网 IP 地址 | 主机名 | live(不包含 .live 顶级域名) | bank |
banc | alpha | test | example |
credit | pw (包含 .pw 顶级域名) | apple | ebay |
trust | root | amazon | android |
visa | google | discover | financial |
wordpress | pal | hp | lv |
free | scp | - | - |
解决方法
建议更换域名中的主机名部分,重新尝试提交订单。如果多次更换主机名,仍提示以上错误,则建议选择收费证书产品,或选择更换主域名申请证书。
说明
域名型 SSL 证书通过自动认证快速颁发,不会人工介入审核,会用较为严格的敏感词来加强审核标准。