SSL证书申请DNS验证失败怎么解决
SSL证书申请DNS验证失败解决的方法:1、如果是fileauth.htm内容配置错误,看站点是否已启用https访问方式,CA指定的URL是否能直接访问到正确的验证文件内容,CDN服务节点是否完成海外同步,文件验证的验证文件有效期是否超时;2、如果是CSR问题,不要使用同一个CSR文件,正确填写Common Name字段,确保已正确配置了DNS解析记录。
具体内容如下:
类型一:fileauth.htm内容配置错误
如果用户在提交数字证书审核时使用文件验证方式进行域名授权验证,可能会收到此审核失败返回结果。这种情况下的数字证书审核申请失败可能是由于以下原因导致的:
1、站点已启用https访问方式
站点部分页面已启用HTTPS访问方式,而验证文件fileauth.txt仅部署在HTTP服务路径下,并没有部署在HTTPS服务路径下,导致用HTTPS协议请求时找不到对应的文件。
解决方法:将验证文件放在HTTPS服务路径下,确保HTTPS协议可访问到;关闭该站点的HTTPS服务。
2、访问验证文件时,站点返回错误代码
访问验证文件时,站点返回错误代码。当尝试获取验证文件信息时,站点返回错误代码页,如50X 内部错误页、40X 错误页、30X 重定向页等。
解决方法:确保CA指定的URL能够直接访问到正确的验证文件内容。确保最终的验证文件没有通过重定向等方式展示在Web浏览器中。可通过浏览器地址是否发生变化来检测是否重定向。
3、站点启用了CDN服务
如果站点启用了CDN服务,而CDN服务节点未完成海外同步。由于Symantec CA验证服务器没有国内镜像站点,当CDN镜像服务节点在海外未能完成同步时,将无法检测到验证文件。
解决方法:将验证文件同步到海外CDN服务节点,或临时关闭CDN海外加速服务。如无法对CDN节点服务器进行操作,建议您变更验证方式为DNS验证。
4、验证文件时间戳超时
文件验证的验证文件有效期为7天。当验证文件内容中的时间戳信息超过7天时,将导致验证失败。
解决方法:登录云盾证书服务管理控制台,重新下载最新的验证文件并上传到您的网站指定目录下。
类型二、CSR(证书请求文件)
证书的请求文件已用于其他订单。
1、CSR(证书请求文件)已用于其他订单,请更新CSR后重新提交
出于证书秘钥安全考虑,在请求一个全新的订单时,不允许使用之前已使用过的CSR信息。并且每一张证书仅对应一个CSR。
解决方法:如果之前已使用一个CSR文件成功提交过订单,在后续的新订单中,请重新生成新的CSR文件。确保每张SSL证书都有其唯一的密钥对,将有助于提升证书应用中的安全性。
2、主域名不能为空
一般发生在申请人自行生成CSR文件的情况下,创建CSR文件时未正确填写Common Name字段。说明 Common Name必须是绑定域名中的一个。
解决方法:建议您使用系统提供的系统生成CSR文件功能,不但保证了CSR内容的正确,在证书颁发后还能支持不同格式的证书下载。
3、CNAME记录值验证方式
Windows: 可使用nslookup命令查询您的域名解析状态。选择开始菜单,单击“运行”,输入“cmd”,在命令行窗口中输入以下命令:nslookup -qt=cname “您的域名验证字符串”分析您的域名验证字符串信息输出信息,确保已正确配置了DNS解析记录。
4、Linux: 推荐用dig 命令
如果不方便用以上命令,可通过web工具检测,记得选择CNAME。