本文介绍申请SSL证书审核失败的可能原因及其解决方法。
背景信息
不同的CA中心,SSL证书实际签发的时间可能有所不同,如果SSL证书申请提交很久之后,还是一直在审核中,具体解决方法,请参见证书申请提交很久了,为什么还是审核中?和免费证书一直在审核中怎么办?。
当SSL证书审核失败时,请您根据审核失败的原因提示,进行排查并修改,修改完成后请您重新提交申请。鼠标悬停至目标SSL证书的状态栏,可查看SSL证书审核失败的具体原因。
申请证书审核失败可能提示的信息如下。
Fileauth.txt内容配置错误
您在提交证书审核使用文件验证方式进行域名授权验证时,如果提示Fileauth.txt内容配置错误,可能的原因如下表所示。
说明 建议您先使用
curl -k -v命令或者wget -S命令验证文件URL是否生效。同时,需要分别对HTTPS和HTTP两种协议的URL进行验证。
| 问题原因 | 解决方法 |
|---|---|
| 部分站点页面已启用HTTPS访问,而验证文件fileauth.txt仅部署在HTTP服务路径下,未部署HTTPS服务路径下,导致报错。 |
|
| 访问验证文件时,站点返回错误代码。 | 确认通过CA中心指定的验证文件URL能够直接访问到正确的验证文件内容,并确认最终的验证文件不是通过重定向等方式显示在Web浏览器中。
说明 可通过浏览器地址是否发生变化来检测是否存在重定向。
|
| 启用了CDN服务,但是CDN服务节点未完成海外数据同步。 | 将验证文件同步到海外CDN服务节点,或者临时关闭CDN海外加速服务。
说明 如果无法对CDN节点服务器进行变更操作,建议您改用DNS验证方式进行域名授权验证。
|
| 验证文件时间戳超时。 | 访问数字证书管理服务控制台,重新下载最新的验证文件并上传到您网站的指定目录。 |
DNS配置错误
您在提交SSL证书审核时,如果选择DNS验证方式,则需要先配置解析记录,待解析生效后,重新在数字证书管理服务控制台进行验证。
您可以通过以下方式,在不同系统查询您的域名解析状态,并分析您的域名验证字符串的输出信息,检查域名解析是否生效。更多信息,请参见域名所有权验证。
- Windows:使用
nslookup命令,查询您的域名解析情况。 - Linux:使用
dig命令,查询您的域名解析情况。dig @8.8.8.8 txt [$Domain][$Domain]:域名解析配置的主机记录。
使用DNS验证方式进行域名授权验证时,SSL证书审核失败的可能原因如下表所示。
| 问题原因 | 解决方法 |
|---|---|
| DNS解析记录值配置错误。 | 请您配置正确的DNS主机记录值和TXT解析记录值。 |
| 使用DNSPod或其他域名解析服务商解析域名。由于其他域名解析服务商查询不存在的主机记录的返回值与预期的返回值不同,导致出现DNS配置错误。 | 您可以暂时忽略域名解析时提示的相关错误,按要求配置DNS的解析记录后,在进行域名授权验证。 |
| DigiCert品牌的DV证书,记录值仅在24小时内有效,如果超过24小时后记录值会变化。如果最新的TXT记录值与DNS设置的不一致,则会出现DNS配置错误。
说明 GeoTrust品牌的DV型证书时间戳始终有效。
|
在域名解析服务商删除原来的TXT解析记录值,并访问数字证书管理服务控制台,重新申请目标证书,获取最新的TXT解析记录值,重新添加新的TXT解析记录值。
说明 在域名服务商域名控制面板,修改已存在的TXT解析记录值生效在两个小时以上,而新建TXT解析记录值会很快生效,建议您通过新建TXT记录值完成验证。待域名验证通过后,即可删除相关的TXT解析记录信息。
|
| 启用了动态域名解析服务,相应的TXT解析记录值未能及时同步到海外权威DNS服务器。 | 请确认动态解析服务正常,并确保海外的解析服务能够正常解析您新增的TXT解析记录。 |
域名审核失败
当您申请DigiCert品牌的DV型证书时,可能会出现域名未通过CA中心安全审核,无法申请DigiCert DV证书、请尝试使用其他域名或子域名,或升级其他产品类型等审核失败提示。可能的原因如下表所示。
| 问题原因 | 解决方法 |
|---|---|
域名中可能包含敏感词汇。当您的二级域名或者主域名中包含特定关键字时,将导致订单请求直接被CA中心驳回。以下关键字供您参考:
说明 更多信息,请参见特定关键字。
|
请您替换或删除域名中的关键字,重新提交申请。尝试多次后,如果仍然审核失败,建议您选择其他付费证书,或更换主域名。 |
单位的电话号码不能为空或不正确
当您申请OV或EV类型的SSL证书时,如果您未填写单位的电话号码,则会审核失败。
| 问题原因 | 解决方法 |
|---|---|
| 申请OV或EV类型的SSL证书,单位的电话号码是必填且需正确,如果单位电话号码为空、或输入的不符合规则时,则会出现报错。 | 请您填写正确的且服务符合规范的单位电话号码,确保该电话号码可以联系到您。 |
其他常见问题
| 问题描述 | 问题原因 | 解决方法 |
|---|---|---|
| CSR文件已用于其他订单 | 为了保证证书密钥的安全,在请求一个全新的订单时,之前已使用过的CSR信息不允许使用。 | 如果之前已使用的CSR文件成功提交过订单,在后续的新订单中,请您重新生成新的CSR文件,确保每张SSL证书都有唯一的密钥对。 |
| 证书绑定的域名格式不正确 | 域名仅允许包含字母、数字、短划线(-)。最大长度不能超过64个字符。 | 请检查CSR请求文件及订单中填写的域名信息,确保您使用了正确的域名提交订单。 |
| 主域名不能为空 | 创建CSR文件时,您填写的Common Name字段有误。
说明 Common Name字段必须是绑定域名中的其中一个域名。
|
建议您使用系统自带的生成CSR文件的功能。更多信息,请参见主域名不能为空。 |
适用于
数字证书管理服务