104
1元证书申请审核失败常见原因及排查办法

fileauth.txt内容配置错误

  1. 站点已启用https访问方式
    可能原因 :验证文件仅部署在HTTP服务路径下,并没有部署在HTTPS服务路径下,从而导致用HTTPS协议请求时找不到对应的文件。
    处理方法 (任选其一):
    a) 将验证文件放在HTTPS服务路径下,确保HTTPS协议可访问到。
    b) 关闭该站点的HTTPS服务。
  2. 访问验证文件时,站点返回错误代码
    可能原因:当尝试获取验证文件时,站点返回错误代码页。如50X内部错误页,40X错误页,30X重定向页等。
    处理方法 :确保CA指定的URL能够直接访问到正确的验证文件内容。确保最终的验证文件没有通过重定向等方式展示在Web浏览器中。可通过浏览器地址是否发生变化来检测是否重定向。
  3. 站点启用了CDN服务
    可能原因 :CDN服务节点海外未同步。Symantec CA验证服务器没有国内镜像站点。当您的CDN镜像服务节点在海外未能完成同步时,将无法检测到验证文件。
    处理方法 :将验证文件同步到海外CDN服务节点,或临时关闭CDN海外加速服务。如无法对CDN节点服务器进行操作,建议您变更验证方式为DNS验证。
  4. 验证文件时间戳超时
    可能原因:文件验证的验证文件有效期为7天。当验证文件内容中的时间戳信息超过7天时,将导致验证失败。
    文件验证方法
    推荐命令:
curl -k -v # 验证文件URL
或者
wget -S # 验证文件URL

验证文件URL请用HTTPS和HTTP两种协议分别测试。

DNS配置错误,Entry不匹配

  1. 记录值配置错误
    可能原因:DNS解析记录分为主机记录及对应的记录值。当主机记录配置正确,但对应的解析记录值配置错误时,将导致验证错误。
    处理方法: 配置正确的DNS主机记录及记录值。
  2. 使用dnspod或部分其他部分域名解析服务商的服务时,未完成DNS解析配置。
    可能原因: 当使用dnspod作为域名解析服务商时,因dnspod对不存在的主机记录的查询返回与预期的返回值不同,导致CA验证返回不准确。
    处理方法:忽略相关错误,并尽快完成DNS的解析记录配置,完成域名验证。
  3. DNS解析记录值中的时间戳超时
    可能原因:DNS验证的记录值中包含时间戳。Symantec DV证书,时间戳有效期截止时间为第二天的16:00之前。当TXT记录值中的时间戳信息超过第二天的16:00时,将导致验证失败。GeoTrust DV证书时间戳始终有效。
    注意:部分域名服务商域名控制面板中,修改已存在的TXT记录值时,解析记录值生效需要2个小时以上。而新建TXT记录值则可以很快生效。因此建议您新建TXT记录值来完成验证。待域名验证通过后,可删除相关的TXT解析记录信息。
  4. 域名启用了动态解析服务
    可能原因:相关域名启用了动态域名解析服务,相应的TXT解析记录值未能及时同步到海外权威DNS服务器。
    处理方法:请确保动态解析服务正常,并确保海外的解析服务能够正常解析您新增的TXT解析记录。尽快完成域名解析记录值的同步,如果申请 Symantec DV证书,域名解析记录值在第二天的16:00之前未能完成海外权威DNS服务器同步,将导致您的域名验证失败。GeoTrust DV证书,解析记录值无有效期限制。
    TXT记录值验证方式
    Windows:可使用nslookup命令查询您的域名解析状态。选择开始菜单,单击“运行”,输入“cmd”,在命令行窗口中输入以下命令:nslookup -qt=cname “您的域名验证字符串”分析您的域名验证字符串信息输出信息,确保已正确配置了DNS解析记录。
    Linux:推荐用dig命令,在linux终端输入dig 域名 cname查看输出信息,确保已正确配置了DNS解析记录。
    如果不方便用以上命令,可通过web工具检测,记得选择TXT。

这条帮助是否解决了您的问题? 已解决 未解决

提交成功!非常感谢您的反馈,我们会继续努力做到更好! 很抱歉未能解决您的疑问。我们已收到您的反馈意见,同时会及时作出反馈处理!