证书签发失败有哪些常见原因?
1. 当前域名存在 CAA 解析记录
域名所有者设置了 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书,CA 机构在颁发 SSL 证书时会遵循域名 CAA 记录,如果发现未获得授权,将拒绝为该域名颁发 SSL 证书。
解决方案
域名所有者前往域名解析平台将 CAA 解析记录删除或将证书 CA 机构名称加入 CAA 解析记录,操作完成后重新申请证书。
注意:
使用 GitHub Page 服务把域名 CNAME 到 github.io域名,会同步引用 github.io 的 CAA 策略从而影响到证书的签发。针对这种特殊情况,您可以在证书签发前暂停该 CNAME 记录,或将 CAA 记录加上 trust-provider.com、globalsign.com 、sectigo.com。
说明:
什么是 CAA 解析记录?
CAA(Certification Authority Authorization,证书颁发机构授权)是一项降低 SSL 证书错误颁发的控制措施,CA 机构从2017年9月8日起颁发 SSL 证书时会严格执行 CAA 强制性检查。域名管理者可在域名解析设置 CAA 记录。
2. 文件验证,域名站点未支持境外访问
证书绑定域名的网站限制境外 IP 访问,由于国际证书的 CA 机构基本是境外机构,CA 机构无法进行文件扫描审核,导致证书签发失败。
解决方案
请确保 Web 网站端口号设置为80或443,所有地区均能匹配到验证值。如您的服务器限制境外访问,需要将 CA 机构的 IP 加入访问白名单,证书颁发完成或域名信息审核通过后,文件和目录即可清除。
说明:
CA 机构常用 IP:
91.199.212.132、91.199.212.133、91.199.212.148、91.199.212.151、91.199.212.176、54.189.196.217
3. 证书申请涉及高风险,已进行人工复核
您申请的证书未通过证书的签发机构风控系统检测,可能原因:绑定的域名疑似涉及行业品牌、行业商标、违禁词等风控敏感词。所以该证书进入人工复审阶段(非腾讯云审核)。
解决方案
为什么收到 CA 机构的通知,但订单状态没有变化?
在资料审核环节和证书颁发环节,CA 机构可能会发送一封邮件通知您申请证书的进展。如果您发现腾讯云 SSL 证书控制台中的订单状态还没有发生变化,这是由于 CA 机构给腾讯云推送的订单状态会有延迟,建议您耐心等待一段时间才能看到订单的状态变化。