如果您的SSL数字证书申请审核失败了,可能存在以下几种问题,请对照检查。
Fileauth.txt 内容配置错误
如果您在提交数字证书审核时使用文件验证方式进行域名授权验证,可能会收到此审核失败返回结果。这种情况下的数字证书审核申请失败可能是由于以下原因导致的:
注意: 建议您使用curl -k -v 验证文件URL
或者wget -S 验证文件URL
命令确认验证文件 URL 是否生效。请对 HTTPS 和 HTTP 两种协议的验证 URL 进行分别测试。
可能原因 1
您的站点部分页面已启用 HTTPS 访问方式,而验证文件 fileauth.txt 仅部署在 HTTP 服务路径下,并没有部署在 HTTPS 服务路径下,导致用 HTTPS 协议请求时找不到对应的文件。
解决方法 1
方法一:将验证文件放在 HTTPS 服务路径下,确保可以通过 HTTPS 协议可访问到。
方法二:暂时关闭该站点所有页面的 HTTPS 服务。
可能原因 2
访问验证文件时,站点返回错误代码。当尝试获取验证文件信息时,站点返回错误代码页,如50X 内部错误页、40X 错误页、30X 重定向页等。
解决方法 2
确保通过 CA 中心指定的验证文件 URL 能够直接访问到正确的验证文件内容,并确保最终的验证文件不是通过重定向等方式显示在 Web 浏览器中。
注意: 您可通过浏览器地址是否发生变化来检测是否存在重定向。
可能原因 3
如果您的站点启用了 CDN 服务,而 CDN 服务节点未完成海外同步。由于 Symantec CA 验证服务器没有国内镜像站点,当您的 CDN 镜像服务节点在海外未能完成同步时,将无法检测到验证文件。
解决方法 3
将验证文件同步到海外 CDN 服务节点,或者临时关闭 CDN 海外加速服务。
注意: 如果您无法对 CDN 节点服务器进行变更操作,建议您改用 DNS 验证方式进行域名授权验证。
可能原因 4
验证文件时间戳超时。文件验证方式中的验证文件有效期为七天。当验证文件内容中的时间戳信息超过七天时,将导致验证失败。
解决方法 4
登录云盾证书服务管理控制台,重新下载最新的验证文件并上传到您的网站指定目录下。
DNS 配置错误,Entry 不匹配
如果您在提交数字证书审核时使用 DNS 验证方式进行域名授权验证,可能会收到此审核失败返回结果。这种情况下的数字证书审核申请失败可能是由于以下原因导致的:
注意:建议您使用以下方式查询 DNS 解析记录值,分析您的域名验证字符串输出信息,确保已正确配置了DNS解析记录。
Windows: 使用
nslookup
命令查询您的域名解析状态。Linux: 使用
dig
命令查询您的域名解析状态。
可能原因 1
DNS 解析记录值配置错误。DNS 解析记录分为主机记录及对应的记录值。当主机记录配置正确,但对应的解析记录值配置错误时,将导致验证错误。
解决方法 1
配置正确的 DNS 主机记录及记录值。
可能原因 2
使用 DNSPod 或部分其他部分域名解析服务商的服务时,因域名解析服务商对不存在的主机记录的查询返回与预期的返回值不同,导致 CA 中心验证返回不准确。
解决方法 2
忽略域名解析设置提示的相关错误,按要求配置 DNS 的解析记录,完成域名授权验证。
可能原因 3
DNS 解析记录值中的时间戳超时。DNS 验证的记录值中包含时间戳,Symantec DV 型证书的时间戳有效期截止时间一般为第二天的 16:00 之前。当 TXT 记录值中的时间戳信息超过第二天的 16:00 时,将导致验证失败。
注意: GeoTrust DV 型证书时间戳始终有效。
解决方法 3
登录云盾证书服务管理控制台,获取最新的 TXT 解析记录值,在域名解析服务商处删除原 TXT 记录并重新添加新的 TXT 解析记录。
注意: 部分域名服务商域名控制面板中,修改已存在的 TXT 记录值时,解析记录值生效需要两个小时以上,而新建 TXT 记录值则可以很快生效。因此建议您通过新建 TXT 记录值完成验证。待域名验证通过后,可删除相关的 TXT 解析记录信息。
可能原因 4
域名启用了动态解析服务。您的域名启用了动态域名解析服务,相应的 TXT 解析记录值未能及时同步到海外权威 DNS 服务器。
解决方法 4
请确保动态解析服务正常,并确保海外的解析服务能够正常解析您新增的 TXT 解析记录。
注意: 请尽快完成域名解析记录值的同步,如果您申请的是 Symantec DV 型证书,域名解析记录值在第二天的 16:00 之前未能完成海外权威 DNS 服务器同步,将导致您的域名验证失败。GeoTrust DV 型证书,解析记录值无有效期限制。
域名审核失败
当您申请 Symantec DV 型证书产品时,您可能收到以下审核返回结果:
该域名未通过CA中心安全审核,无法申请Symantec DV证书。请尝试使用其他域名/子域名,或升级其他产品类型。
可能原因
Symantec DV 型及 DV 型通配符证书产品,全程无人工审核验证流程。因此,当您的域名中包含特定关键字时,将导致订单请求直接被 Symantec 驳回。二级域名或者主域名中都有可能包含特定的关键字。
特定的关键词规则包含 live、bank、fund、wallet、pay、lv、nuclear、.pw 域名等。
部分全球知名公司注册商标、域名等,如 google、microsoft、apple 等。
解决方法
建议更换域名中的主机名部分,重新尝试提交订单。如果多次更换主机名,仍提示以上错误,则建议选择其他收费证书产品,或选择更换主域名申请证书。
单位的电话号码不能为空或不正确
当您申请 OV、EV 类型数字证书时,如果您未填写单位电话号码,将收到该审核失败信息。
可能原因
OV、EV 类型证书产品,单位电话号码为必填字段。当单位电话号码为空、或填写不符合规则时,需要重新填写。
解决方法
请填写能够及时联系到您的单位电话号码,以确保在 CA 中心进行组织信息验证时能够联系到您。
CSR(证书请求文件)已用于其他订单,请更新 CSR 后重新提交
证书的请求文件已用于其他订单。
可能原因
出于证书密钥安全考虑,在请求一个全新的订单时,不允许使用之前已使用过的 CSR 信息。
解决方法
如果之前已使用一个 CSR 文件成功提交过订单,在后续的新订单中,请重新生成新的 CSR 文件。确保每张 SSL 证书都有其唯一的密钥对,有助于提升证书应用中的安全性。
证书绑定的所有域名(IP)格式不正确
证书中绑定的域名信息错误。
可能原因
合法的域名仅允许包含字母 + 数字 + "-"
的任意组合,且域名的最大长度不得超过 64 个字符。
解决方法
请检查 CSR 请求文件及订单中填写的域名信息,确保您使用了正确的域名提交订单。
审核失败 - 主域名不能为空
可能原因
这种情况一般发生在您自行生成 CSR 文件的情况下,创建 CSR 文件时未正确填写 Common Name 字段。注意: Common Name 必须是绑定域名中的一个。
处理方法
建议您使用系统提供的系统生成 CSR 文件功能,不但保证了 CSR 内容的正确,在证书颁发后还能支持不同格式的证书下载。