尊敬的用户您好,
如果您的根域名CNAME至腾讯云提供的CDN域名上(形如 xxx.dnsv1.com.cn),您的证书签发流程可能会因为CAA记录验证冲突导致无法完成证书签发(表现为证书控制权验证一直无法完成)。
目前观察到仅影响根域名存在CNAME至腾讯云CDN的情况,如果根域名没有CNAME而只是子域名单独CNAME至腾讯云的场景暂无问题
可能原因
按照标准实现,根域名CNAME可能会引发解析冲突,所以Certum CA在这种情况下会去检查目标域名的相关参数而非您本身的域名的CAA记录,导致验证冲突
签发建议
如果您满足以下条件:
- 根域名存在CNAME记录(如 test.com CNAME testcdn.dnsv1.com.cn)
- 您CNAME的目标对象是腾讯云CDN提供的域名记录
建议您采取临时措施修改解析记录,直至证书签发完成:
方式1:(最简单)请在您的DNS服务商处,开启根域名 Flattening 功能,以Cloudflare为例,在您域名左侧DNS->Setting中,选择“Flatten CNAME at apex”
方式2:暂时移除您根域名(Apex Domain)的CNAME解析,直至证书签发完成,缺点是在此期间将无法通过根域名访问网站,如果您的网站有业务流量,请谨慎选择
方式3:如果您需要保证签发期间根域名的正常访问,请参考以下步骤
- 在Windows上通过
nslookup <根域名>, 或者在Linux上使用dig <根域名>获取您当前CDN解析的IP地址 - 将您根域名的CNAME记录暂时移除,替换为A记录,IP地址为您在第一步得到的地址
- 在大约半小时以后签发证书(以免DNS缓存问题导致签发异常)
- 在签发完毕以后,您可以将根域名解析改回CNAME形式