【待反馈】大佬们申请证书出现错误： 发送CSR: 响应状态403

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：所有版本都一样

系统版本：CentOS 7.6

[size=1.4]

问题描述：申请免费证书出现：错误： 发送CSR: 响应状态403 响应值:{'type': 'urn:ietf:params:acme:error:caa', 'detail': 'Error finalizing order :: While processing CAA for auuu.top: DNS problem: looking up CAA for auuu.top: DNSSEC: DNSKEY Missing', 'status': 403}删掉域名重新添加也是这样

相关截图（日志、错误）：

有人吗能看到吗QAQ

我也是这个问题目前

你收到的错误信息表明在尝试发送CSR（证书签名请求）时，遇到了与CAA（Certification Authority Authorization）记录相关的问题。具体的错误信息指出，DNS系统中缺少DNSKEY，这是DNSSEC（DNS Security Extensions）的一部分。这种情况下，认证机构无法完成订单，导致返回403状态码。

### 解决步骤：

1. **检查CAA记录**:
   - 确保域名 `auuu.top` 的CAA记录配置正确。
   - CAA记录指定了哪些证书颁发机构（CA）有权为该域名颁发证书。如果未设置CAA记录，任何受信的CA都可以颁发证书。如果CAA记录存在，但未包含您使用的CA，将导致403错误。

2. **检查DNSSEC配置**:
   - DNSSEC（DNS Security Extensions）增加了DNS查询和响应的安全性，确保其不被篡改。
   - 错误信息中提到“DNSSEC: DNSKEY Missing”，意味着DNSSEC配置不完整或有误。
   - 验证DNSSEC配置是否正确，尤其是确保DNSKEY记录正确发布和传播。

3. **联系域名注册商或DNS提供商**:
   - 如果自己无法解决问题，可以联系域名注册商或DNS提供商，寻求帮助。他们可以检查和修正CAA和DNSSEC配置。

### 示例步骤：

1. **CAA记录检查**：
   - 使用命令行工具（如 `dig`）或在线工具检查CAA记录：
     ```sh
     dig CAA auuu.top
     ```

2. **DNSSEC配置检查**：
   - 检查DNSKEY和RRSIG记录是否正确发布：
     ```sh
     dig DNSKEY auuu.top
     dig RRSIG auuu.top
     ```

3. **CAA记录配置（如果需要更改）**：
   - 例如，允许Let's Encrypt颁发证书的CAA记录：
     ```
     auuu.top. IN CAA 0 issue "letsencrypt.org"
     ```

通过以上步骤，应该能够解决CSR发送过程中遇到的403错误。如果仍有问题，建议联系相关技术支持人员进一步排查。

用户123gjhkj 发表于 2024-6-19 11:43
有人吗能看到吗QAQ

您好，您取消dns后尝试

你的问题解决了吗？

开运网控制面板 发表于 2024-6-26 11:22
你的问题解决了吗？

您好，您遇到相同的问题了吗，是的话，请发帖贴将图片和问题发出来

不同的问题，我的是续签的时候提示部署失败，请关闭ssl重新尝试部署，但是关闭之后就是重新申请了。

运维技术阿闯 发表于 2024-6-26 12:17
您好，您遇到相同的问题了吗，是的话，请发帖贴将图片和问题发出来

https://www.bt.cn/bbs/forum.php? ... typeid%26typeid%3D8

已经发了

我也遇到了这样的问题，怎么回事呀，有人解决了吗？

同样问题，只有.top域名有这个问题

运维技术阿闯 发表于 2024-6-19 15:17
您好，您取消dns后尝试

试了，没作用

kalvin1985 发表于 2024-6-26 14:23
试了，没作用

您好，已经在后台私信联系您了

我也是一样的问题 top域名

查看是否ca出现问题的方法：这边由于没有.top的域名，大家可以在厂商那边申请一下证书查看一下是否出现问题，如果是同样的，就是ca那边出现了问题，如果厂商那边可以申请的话，我这边跟进一下