DNS problem: query timed out looking up CAA for 你的域名
该错误发生在生成证书验证域名的过程中(new-authz)。一旦出现这个错误,该域名将不能获取Let's Encrypt证书,直到这个问题得到解决。
这个错误的原因你的域名服务商当前的域名服务器不支持CAA(即:Certificate Authority Authorization 证书颁发机构授权)解析的查询(注意是查询,不一定需要解析)。Let's Encrypt在验证域名时首先要查询CAA记录,以确认你的域名是否通过这个记录限制了CA机构,一般应该返回空(即表示允许所有CA机构为你的域名颁发证书),当然这个DNS记录也可用来限制CA,具体可以查看相关标准。
这个错误的原因出在你的域名的服务商系统,通常来讲更换你的域名的解析服务器(即NS记录)或更换域名服务商。
建议使用Easy HTTPs的自动化DNS解析验证进行Let's Encrypt证书生成,这种方式可以不用更换服务商和重新设置DNS解析服务器即可完成Let's Encrypt证书申请(注意是全自动验证方式),配置方法在生成证书过程中有详细的引导式说明(首先在证书管理列表中,点击证书,设置验证方式为DNS验证,生成时第一步首先按界面的全自动DNS验证设置好全部解析记录后再生成即可)。
1. certbot客户端生成时:
An unexpected error occurred:
DNS problem: query timed out looking up CAA for xxxx
2. acme.sh 客户端生成时:
"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:connection","detail":"DNS problem: query timed out looking up CAA for xxxx","status":400}
3. easy https 生成 Let's Encrypt SSL安全证书 时:
Challenge for domain xxxxx invalid...(DNS problem: query timed out looking up CAA for xxx)
该错误表示您的域名的DNS解析服务器不支持CAA查询, 只能通过更换DNS解析服务器后再生成证书(建议切换为自动DNS解析验证域名).