请首先以下面的方式依次排查(能够解决95%错误情况):
1、只使用一家DNS服务器商 2、不建议使用小众的DNS服务商 3、更换CA渠道重新申请
超过2次失效,建议:更换DNS服务商或更换CA再试。
1、CAA限制
CAA record for ** prevents issuance
说明:域名CAA限制申请该类型证书。
解决:
1、添加CAA解析,允许申请。lets的CAA记录为:0 issue "letsencrypt.org"。
可参见:https://sslmate.com/caa/
2、更换域名解析服务商。
2、DNS故障
带有DNS problem的错误,例如:
DNS problem: SERVFAIL looking up TXT for ** - the domain’s nameservers may be malfunctioning
DNS problem: SERVFAIL looking up CAA for * - the domain’s nameservers may be malfunctioning
DNS problem: SERVFAIL looking up A for * - the domain’s nameservers may be malfunctioning
DNS problem: query timed out looking up CAA for **
DNS problem: NXDOMAIN looking up TXT for * - check that a DNS record exists for this domain
说明:
1、由于最终验证服务器在国外,部分DNS服务器未响应或响应超时,导致无法验证。
2、部分域名服务商可能直接屏蔽了验证服务器的请求。
3、DNS服务器处理和返回数据不规范(小众的域名解析服务商,可参见上面的DNS服务商链接)。
解决:
1、换个时间段重新申请,或换渠道商(CA)。
2、更换域名解析服务商(仅且使用一家服务商)。
3、如果超过3次以上都是DNS problem类错误,始终建议更换域名服务商。
4、部分域名商:根域domain.com无法申请,但*.domain.com时可申请成功。
4、其他常见(服务器故障)
No valid IP addresses found for **
Fetching *: Timeout during connect (likely firewall problem)
Fetching *: Connection reset by peer
Incorrect TXT record “**“ found at **
DNS problem: NXDOMAIN looking up A for *
No TXT record found at *
说明:
1、域名解析设置的生效范围如果仅限于国内,国外的服务器获取解析记录会失败
2、添加了解析后又删除了,即平台验证成功了,但接口验证失败(也有可能缓存原因)。
3、服务器(DNS或网站)不稳定。
4、网站屏蔽了国外服务器访问(http验证)
解决:
1、DNS解析的地域范围为全部。
2、不要频繁变动验证设置。
3、设置后,等一段时间再提交验证(DNS验证)。
4、检查自己的网站服务器稳定性(http验证)。
3、自动验证
Incorrect TXT record “*“ found at *
说明:验证域名设置了CNAME解析,同时TXT解析仍然存在,导致不认CNAME解析的自动设置。
解决:
1、删除域名的TXT解析记录。
其他:如果自动验证提交后多次失效,可以切换为手动验证,如果手动验证能够申请成功,请与我们联系,排查原因。
4、验证服务器故障
说明:验证服务器出现故障,导致验证失败。此情况为偶发,不常见。
解决:
1、换个时间段重新申请。
若有收获,就点个赞吧
0 人点赞
