申请证书审核失败的原因及处理方法

发布时间:2016/6/19 1:21:32 打印 字号:

1. fileauth.htm内容配置错误

1.1. 站点已启用https访问方式

可能原因:

验证文件仅部署在HTTP服务路径下,并没有部署在HTTPS服务路径下,从而导致用HTTPS协议请求时找不到对应的文件。

处理方法(任选其一):

a) 将验证文件放在HTTPS服务路径下,确保HTTPS协议可访问到;

b) 关闭该站点的HTTPS服务;

1.2 访问验证文件时,站点返回错误代码

可能原因:

当尝试获取验证文件时,站点返回错误代码页。如50X内部错误页,40X错误页,30X重定向页等。

处理方法:

确保CA指定的URL能够直接访问到正确的验证文件内容。确保最终的验证文件没有通过重定向等方式展示在Web浏览器中。可通过浏览器地址是否发生变化来检测是否重定向。

1.3 站点启用了CDN服务

可能原因:

CDN服务节点海外未同步。Symantec CA验证服务器没有国内镜像站点。当您的CDN镜像服务节点在海外未能完成同步时,将无法检测到验证文件。

处理方法:

将验证文件同步到海外CDN服务节点,或临时关闭CDN海外加速服务。如无法对CDN节点服务器进行操作,建议您变更验证方式为DNS验证。

1.4 验证文件时间戳超时

可能原因:

文件验证的验证文件有效期为7天。当验证文件内容中的时间戳信息超过7天时,将导致验证失败。

处理方法:

登录阿里云-云盾证书服务,从证书管理控制台下载最新的验证并上传到网站指定目录下。

文件验证方法:

推荐命令:

curl -k -v 验证文件URL 或者 wget -S 验证文件URL

验证文件URL请用HTTPS和HTTP两种协议分别测试。

2.DNS配置错误,Entry不匹配

2.1. 记录值配置错误

可能原因:

DNS解析记录分为主机记录及对应的记录值。当主机记录配置正确,但对应的解析记录值配置错误时,将导致验证错误。

处理方法:

配置正确的DNS主机记录及记录值。

2.2.使用dnspod或部分其他部分域名解析服务商的服务时,未完成DNS解析配置。

可能原因:

当使用dnspod作为域名解析服务商时,因dnspod对不存在的主机记录的查询返回与预期的返回值不同,导致CA验证返回不准确。

处理方法:

忽略相关错误,并尽快完成DNS的解析记录配置,完成域名验证。

2.3.DNS解析记录值中的时间戳超时

可能原因:

DNS验证的记录值中包含时间戳。Symantec DV证书,时间戳有效期截止时间为第二天的16:00之前。当CNAME记录值中的时间戳信息超过第二天的16:00时,将导致验证失败。GeoTrust DV证书时间戳始终有效。

处理方法:

登录阿里云-云盾证书服务,从证书管理控制台获取最新的CNAME解析记录信息,删除原CNAME记录并重新添加新的CNAME解析记录。

注意:部分域名服务商域名控制面板中,修改已存在的CNAME记录值时,解析记录值生效需要2个小时以上。而新建CNAME记录值则可以很快生效。因此建议您新建CNAME记录值来完成验证。待域名验证通过后,可删除相关的CNAME解析记录信息。

2.4. 域名启用了动态解析服务

可能原因:

相关域名启用了动态域名解析服务,相应的CNAME解析记录值未能及时同步到海外权威DNS服务器。

处理方法:

请确保动态解析服务正常,并确保海外的解析服务能够正常解析您新增的CNAME解析记录。尽快完成域名解析记录值的同步,如果申请 Symantec DV证书,域名解析记录值在第二天的16:00之前未能完成海外权威DNS服务器同步,将导致您的域名验证失败。GeoTrust DV证书,解析记录值无有效期限制。

CNAME记录值验证方式

Windows: 可使用nslookup命令查询您的域名解析状态。选择开始菜单,单击“运行”,输入“cmd”,在命令行窗口中输入以下命令:nslookup -qt=cname “您的域名验证字符串”分析您的域名验证字符串信息输出信息,确保已正确配置了DNS解析记录。

Linux: 推荐用dig 命令

如果不方便用以上命令,可通过web工具检测,记得选择CNAME。推荐工具:DNS检测工具

 3.域名审核失败

该域名未通过CA安全审核,无法申请Symantec DV证书。请尝试使用其他域名/子域名,或升级其他产品类型。申请Symantec DV证书产品,当域名中包含特定关键字时,可能触发该错误信息。

可能原因:

Symantec DV及DV通配符证书产品,全程无人工审核验证流程。当您的域名中包含特定关键字时,将导致订单请求直接被Symantec驳回。二级域名或者主域名中都有可能包含特定的关键字。

特定的关键词规则包含: live、bank、fund、wallet、pay、lv、nuclear、.pw域名等。

部分全球知名公司注册商标、域名等,如:google、microsoft、apple等。

处理方法:

建议首先更换域名中的主机名部分,重新尝试提交订单。如果多次更换主机名,均提示以上错误,则建议选择其他收费证书产品,或选择更换主域名申请证书。

4.单位的电话号码不能为空或不正确

申请OV/EV类型证书产品,未填写单位电话号码时,触发该错误信息。

可能原因:

OV/EV类型证书产品,单位电话号码为必填字段。当单位电话号码为空,或填写不符合规则时,需要重新填写。

处理方法:

请填写能够接听的单位电话号码,以便在CA机构做组织信息验证时能够方便的联系到您。

5.CSR(证书请求文件)已用于其他订单,请更新CSR后重新提交

证书的请求文件已用于其他订单。

错误原因:

出于证书秘钥安全考虑,在请求一个全新的订单时,不允许使用之前已使用过的CSR信息。

错误处理:

如果之前已使用一个CSR文件成功提交过订单,在后续的新订单中,请重新生成新的CSR文件。确保每张SSL证书都有其唯一的密钥对,将有助于提升证书应用中的安全性。

6.证书绑定的所有域名(IP)格式不正确

证书中绑定的域名信息错误。

错误原因:

合法的域名,仅允许包含“字母”+“数字”+“-”的任意组合。并且域名的最大长度不得超过64个字符。

错误处理:

请检查CSR及订单中填写的域名信息,确保使用了正确的域名提交订单。