前言

以前在腾讯云申请免费证书基本都是几分钟内就通过了,但是这次申请的证书迟迟没有通过。腾讯云客服表示证书申请不通过的原因是域名解析的 CNAME 记录有 CAA 记录,这篇文章做个记录分享。

DNS 解析诊断

腾讯云 TrustAsia 免费证书的 DNS 验证由 TXT 类型改为了 CNAME 类型

比如我这次申请证书的域名是pan.gahotx.cn,但是由于主域名gahotx.cn有一条线路是解析到国外gahotx.github.io,也会导致申请的域名在境外存在 CAA 记录,所以证书颁发不通过

解决措施

如果域名使用 DNS 诊断工具发现域名在境外存在 CAA 记录,我们只需要把主域名解析到境外的线路暂时停止即可

主域名停止解析到gahotx.github.io后,再用 DNS 诊断工具去查申请域名的 CAA 记录,此时已经没有在境外的 CAA 记录,这时候申请的 TrustAsia 证书瞬间就通过了

CAA 记录说明

以前在腾讯云申请 TrustAsia 免费证书的时候都不需要停止解析到 Github 的记录,基本都是几分钟就通过了,估计这次不通过很大概率是因为 DNS 验证的记录值从 TXT 类型改成了 CNAME 类型。