トラブルシューティング
DCVに関する手順を考慮すると、証明書の発行や更新に干渉する状況がいくつかあります。
ブロックされた検証URLや誤設定されたDNS設定は、証明書機関が検証プロセスを完了する能力に干渉する可能性があります。このような状況では、Cloudflareまたは権威DNSプロバイダーで設定を更新する必要があります。さらに、CA側のエラーも発生する可能性があります。
HTTP DCVが有効な場合に問題が発生した場合、以下の設定を確認してください:
-
/.well-known/*に影響を与えるもの: WAFカスタムルール、IPアクセスルール、および他の設定ルールを確認し、ルールが検証URLでインタラクティブチャレンジを有効にしていないことを確認してください。 -
Cloudflareアカウント設定およびページルール: アカウント設定、設定ルール、およびページルールを確認し、検証URLで攻撃を受けているモードが有効になっていないことを確認してください。
以下のエラーは、権威DNSプロバイダーで対処する必要がある状況を指します:
証明書機関がDNSルックアップを実行するのに問題がありました: dns問題: nsheiapp.codeacloud.comのcaaを検索中: dnssec: 偽証明書機関がDNSルックアップ中にSERVFAILに遭遇しました。DNSの到達性を確認してください。
トラブルシューティングの際は、以下を考慮してください:
- DNSSEC ↗が正しく設定されている必要があります。DNSSECの展開を理解し、トラブルシューティングするためにDNSViz ↗を使用できます。
- あなたのCAAレコードは、Cloudflareのパートナーである証明書機関(CA)があなたの代わりに証明書を発行できるようにする必要があります。
- HTTP検証プロセスは、IPv6を介して行うことが望ましいため、
AAAAレコードが存在し、Aレコードと同じデュアルスタックの場所を指していない場合、検証は失敗します。
As mentioned in Certificate authorities, specific CAs may have their own limitations. If you use Let’s Encrypt and receive the error below, it means you hit the duplicate certificate limit ↗ imposed by Let’s Encrypt.
The authority has rate limited these domains. Please wait for the rate limit to expire or try another authority.
A certificate is considered a duplicate of an earlier certificate if it contains the exact same set of hostnames.
In this case, you can either wait for the rate limit window to end or choose a different certificate authority.
証明書機関がDCVフローのCAチェック部分で問題を見つけた場合、証明書機関に内部エラーが発生しましたというメッセージが表示されることがあります。この場合は、待つか、別の証明書機関を試してください。
エラーがこのドメインに対して証明書機関は発行しませんと表示される場合は、別の証明書機関を試すか、CAに直接連絡してください。