摘要 

本指南解释了在通过Sectigo进行SSL签发时，使用CNAME记录验证时，如何诊断和解决SSL证书域控制验证（DCV）失败。这些问题通常发生在DNS错误时，导致证书发放延迟。  

症状 

如果你注意到以下情况，你可能正在经历这个问题： 

• Sectigo 报告称 CNAME 记录缺失或错误。 
• DNS 传播看似完成，但验证仍然失败。 
• SSL证书的发放会被延迟超过预期时间。  

病因 

该错误通常由以下原因引起： 

• DNS中CNAME主机或值s不正确。 
• CNAME值中缺少尾部的点（例如，sectigo.com。）。 
• DNS传播延迟或缓存问题。 

解决方案 

请按照以下步骤解决问题： 

1. 验证CNAME记录 

请核对  主机和Sectigo提供的值。确保记录完全匹配，包括任何必要的后缀点。 

示例：主机：_abc123.example.com  

值：abc123.sectigo.com。 

使用dig、nslookup或在线DNS检查器（如DNSChecker、WhatIsMyDNS）等工具确认记录是否公开可见。  

2. 检查DNS传播 

DNS变更的全球传播可能需要长达24至48小时。请在此期间等待并重新检查。如果延迟持续，请联系您的DNS服务提供商寻求帮助。 

3. 验证唯一价值 

如果 Sectigo 为 CNAME 记录提供了唯一值，请确保它在 DNS 设置中正确更新。 

示例：价值：unique-token.sectigo.com。  

4. 确认尾随点 

sectigo.com 末尾漏点  可能导致DNS在你的域名后缀上添加，导致错误的值。 

正确：abc123.sectigo.com. 

错误：abc123.sectigo.com 

额外提示 

如果CNAME或HTTP验证持续失败，考虑切换到基于电子邮件的DCV作为替代方法。