>前言

以前在腾讯云申请免费证书基本都是几分钟内就通过了,但是这次申请的证书迟迟没有通过。腾讯云客服表示证书申请不通过的原因是域名解析的 CNAME 记录有 CAA 记录,这篇文章做个记录分享。

>DNS 解析诊断

腾讯云 TrustAsia 免费证书的 DNS 验证由 TXT 类型改为了 CNAME 类型

比如我这次申请证书的域名是 pan.gahotx.cn,但是由于主域名 gahotx.cn 有一条线路是解析到国外gahotx.github.io,也会导致申请的域名在境外存在 CAA 记录,所以证书颁发不通过

DNS 诊断工具

>解决措施

如果域名使用 DNS 诊断工具发现域名在境外存在 CAA 记录,我们只需要把主域名解析到境外的线路暂时停止即可

主域名停止解析到 gahotx.github.io 后,再用 DNS 诊断工具去查申请域名的 CAA 记录,此时已经没有在境外的 CAA 记录,这时候申请的 TrustAsia 证书瞬间就通过了

>CAA 记录说明

以前在腾讯云申请 TrustAsia 免费证书的时候都不需要停止解析到 Github 的记录,基本都是几分钟就通过了,估计这次不通过很大概率是因为 DNS 验证的记录值从 TXT 类型改成了 CNAME 类型。

CAA 记录说明