证书签发失败有哪些常见原因?
1.当前域名存在 CAA 解析记录
问题现象:
域名管理员设置了CAA解析记录来授权指定的CA机构为其颁发SSL证书,CA机构在颁发SSL证书时会检测域名CAA记录,如果发现未获得授权,将拒绝为该域名颁发SSL证书。
解决办法:
域名管理员前往域名解析平台将CAA解析记录删除或将证书CA机构名称加入CAA解析记录,操作完成后等待CA重新验证。
2.文件验证,域名站点未支持境外访问
问题现象:
申请证书对应的域名的网站限制海外访问,由于国际证书的CA审核机构基本是海外机构,CA机构无法进行文件验证扫描审核,导致证书签发失败。
解决办法:
请确保Web网站端口号设置为80或443,所有地区均能匹配到验证值。如应用服务器限制境外访问,需要将CA机构的IP加入访问白名单,证书颁发完成或域名信息审核通过后,即可还原访问策略以及删除验证文件。
3.证书申请涉及高风险,已进行人工复核
问题现象:
您申请的证书未通过证书的签发机构风控系统检测,可能原因:绑定的域名疑似涉及行业品牌、行业商标、违禁词等风控敏感词。所以该证书进入人工复审阶段。
解决办法:
耐心等待人工复审结果,如未审核通过,可更换域名重新申请。如无法更换域名可选购企业型(OV)、增强型(EV)证书,OV/EV证书会进行企业信息审核,审核通过后即可正常签发证书。
SSL证书审核需要多久时间?
SSL 证书审核时间取决于申请的证书类型。
DV证书:完成域名验证后,立即签发(1天内);
OV证书:确认好组织验证方式,提交审核后3-5个工作日审核时间 期间需要配合完成组织和域名验证 ;
EV证书:确认好组织验证方式,提交审核后3-5个工作日审核时间 期间需要配合完成组织和域名验证 。
为什么证书验证状态长时间停留在审核中?
域名验证/组织审核未完成前,订单会处于审核中,组织审核问题会有对应交付人员跟进处理,请您耐心等待。
SSL证书提交申请后需要做什么?
DV证书需要及时去完成域名验证,即可签发证书;OV/EV证书需要配合交付人员先完成组织审核。
收到CA机构的邮件或电话如何处理?
电话方式:接到审核电话所有问题如实回答即可。
邮箱方式:收到组织验证邮件后,按照邮件提示操作。
新购买的SSL证书是否需要重新审核?
需要,购买SSL证书都需要完成域名验证/组织审核。
域名未通过安全审核该怎么办?
问题现象:
有的域名由于命中CA的品牌高风险保护,则会无法通过安全审核。
解决办法:
通过400热线反馈给CA,等CA人工审核结果,若还是无法通过择无法签发证书,需要换域名申请或签发自签发证书。