97
申请证书审核失败的原因及处理方法

fileauth.txt内容配置错误

如果您在提交数字证书审核时使用文件验证方式验证,检查配置时可能会收到验证失败返回结果。这种情况下的数字证书验证失败可能是由于以下原因导致的:

说明:

建议您使用curl-k-v验证文件url或者wget-s验证文件url命令确认验证文件url是否生效。请对https和http两种协议的验证url进行分别测试。

  • 可能原因1:您的站点部分页面已启用https访问方式,而验证文件fileauth.txt仅部署在http服务路径下,并没有部署在https服务路径下,导致用https协议请求时找不到对应的文件。
    解决方法: 将验证文件放在http服务路径下,确保可以通过https协议访问到。 暂时关闭该站点所有页面的https服务。
  • 可能原因 2:访问验证文件时,站点返回错误代码。当尝试获取验证文件信息时,站点返回错误代码页,如50x 内部错误页、40x 错误页、30x 重定向页等。 解决方法:确保通过ca中心指定的验证文件url能够直接访问到正确的验证文件内容,并确保最终的验证文件不是通过重定向等方式显示在web浏览器中。

说明:

您可通过浏览器地址是否发生变化来检测是否存在重定向

  • 可能原因 3:如果您的站点启用了cdn服务,而cdn服务节点未完成海外同步。由于symantec ca验证服务器没有国内镜像站点,当您的cdn镜像服务节点在海外未能完成同步时,将无法检测到验证文件。
    解决方法: 将验证文件同步到海外cdn服务节点,或者临时关闭cdn海外加速服务。

说明:

如果您无法对cdn节点服务器进行变更操作,建议您改用dns验证方式进行域名授权验证

  • 可能原因4:验证文件时间戳超时。文件验证方式中的验证文件有效期为七天。当验证文件内容中的时间戳信息超过七天时,将导致验证失败。
    解决方法: 登录证书服务管理控制台,重新下载最新的验证文件并上传到您的网站指定目录下。

dns配置错误,entry不匹配

如果您在提交数字证书审核时使用dns验证方式进行验证,检查配置时可能会收到未检测到dns配置内容的返回结果。这种情况下的数字证书审核申请失败可能是由于以下原因导致的:

说明:

建议您使用以下方式查询dns解析记录值,分析您的域名验证字符串输出信息,确保已正确配置了dns解析记录。

windows:使用nslookup 命令查询您的域名解析状态。选择开始菜单,单击“运行”,输入“cmd”,在命令行窗口中输入以下命令:nslookup -qt=txt “您的域名” 分析您的输出信息,确保已正确配置了dns解析记录。

linux:使用dig命令查询您的域名解析状态。在linux终端输入dig 域名 txt查看输出信息,确保已正确配置了dns解析记录。

windows下:

linux下:

  • 可能原因1:dns解析记录值配置错误。dns解析记录分为主机记录及对应的记录值。当主机记录配置正确,但对应的解析记录值配置错误时,将导致验证错误。
    解决方法:配置正确的dns主机记录及记录值。
  • 可能原因2:使用dnspod或部分其他部分域名解析服务商的服务时,因域名解析服务商对不存在的主机记录的查询返回与预期的返回值不同,导致ca中心验证返回不准确。
    解决方法:忽略域名解析设置提示的相关错误,按要求配置dns的解析记录,完成域名授权验证。
  • 可能原因3:dns解析记录值中的时间戳超时。dns验证的记录值中包含时间戳,symantec dv型证书的时间戳有效期截止时间一般为第二天的16:00之前。当txt记录值中的时间戳信息超过第二天的16:00时,将导致验证失败。
    解决方法:登录证书服务管理控制台,获取最新的txt解析记录值,在域名解析服务商处删除原txt记录并重新添加新的txt解析记录。

说明:

部分域名服务商域名控制面板中,修改已存在的txt记录值时,解析记录值生效需要两个小时以上,而新建txt记录值则可以很快生效。因此建议您通过新建txt记录值完成验证。待域名验证通过后,可删除相关的txt解析记录信息。

  • 可能原因4:域名启用了动态解析服务。您的域名启用了动态域名解析服务,相应的txt解析记录值未能及时同步到海外权威dns服务器。
    解决方法:请确保动态解析服务正常,并确保海外的解析服务能够正常解析您新增的txt解析记录。

说明:

请尽快完成域名解析记录值的同步,如果您申请的是symantecdv型证书,域名解析记录值在第二天的16:00之前未能完成海外权威dns服务器同步,将导致您的域名验证失败。

更多证书验证操作可以参考 1元ssl证书如何添加dns验证或文件验证