Beheben Sie DNS Validierungsprobleme - AWS Certificate Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beheben Sie DNS Validierungsprobleme

Lesen Sie die folgenden Anleitungen, wenn Sie Probleme bei der Validierung eines Zertifikats mit haben. DNS

Der erste Schritt bei der DNS Fehlerbehebung besteht darin, den aktuellen Status Ihrer Domain mit Tools wie den folgenden zu überprüfen:

Vom Anbieter verbotene Unterstriche DNS

Wenn Ihr DNS Anbieter führende Unterstriche in CNAME Werten verbietet, können Sie den Unterstrich aus dem ACM angegebenen Wert entfernen und Ihre Domain ohne ihn validieren. Zum Beispiel _x2.acm-validations.aws kann der CNAME Wert zu Validierungszwecken in geändert werdenx2.acm-validations.aws. Der CNAME Namensparameter muss jedoch immer mit einem führenden Unterstrich beginnen.

Sie können einen der Werte auf der rechten Seite der Tabelle unten verwenden, um eine Domain zu validieren.

Name

Typ

Wert

_<random value>.example.com.

CNAME

_<random value>.acm-validations.aws.

_<random value>.example.com.

CNAME

<random value>.acm-validations.aws.

Vom Anbieter hinzugefügter Standardzeitraum DNS

Einige DNS Anbieter fügen dem von Ihnen angegebenen CNAME Wert standardmäßig einen Nachzeitraum hinzu. Infolgedessen verursacht das Hinzufügen des Zeitraums selbst einen Fehler. Zum Beispiel“<random_value>.acm-validations.aws.„wird abgelehnt, während“<random_value>.acm-validations.aws„akzeptiert wird.

DNSDie Validierung bei schlägt GoDaddy fehl

DNSDie Validierung von Domains, die bei Godaddy und anderen Registrys registriert sind, schlägt möglicherweise fehl, sofern Sie die von angegebenen CNAME Werte nicht ändern. ACM Unter Verwendung von example.com als Domainname hat der ausgestellte CNAME Datensatz die folgende Form:

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

Sie können einen CNAME Datensatz erstellen, der kompatibel mit ist, GoDaddy indem Sie die Apex-Domain (einschließlich des Punkts) am Ende des NAME Felds wie folgt abschneiden:

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

ACMIn der Konsole wird die Schaltfläche „Datensätze in Route 53 erstellen“ nicht angezeigt

Wenn Sie Amazon Route 53 als Ihren DNS Anbieter auswählen, AWS Certificate Manager kann direkt mit ihm interagieren, um Ihre Domain-Inhaberschaft zu bestätigen. Unter bestimmten Umständen ist die Schaltfläche Datensätze in Route 53 erstellen möglicherweise nicht verfügbar, wenn Sie es erwarten. Wenn dies der Fall ist, prüfen Sie auf folgende mögliche Ursachen.

  • Sie verwenden Route 53 nicht als Ihren DNS Anbieter.

  • Sie sind über verschiedene Konten bei Route 53 angemeldetACM.

  • Sie sind nicht IAM berechtigt, Datensätze in einer von Route 53 gehosteten Zone zu erstellen.

  • Sie oder eine andere Person haben die Domain bereits validiert.

  • Die Domain ist nicht öffentlich adressierbar.

Route-53-Validierung schlägt in privaten (nicht vertrauenswürdigen) Domains fehl

ACMSucht während der DNS Überprüfung nach einer CNAME in einer öffentlich gehosteten Zone. Wenn es keinen findet, wird eine Zeitüberschreitung nach 72 Stunden mit dem Status Validation timed out (Validierung abgelaufen) angezeigt. Sie können es nicht verwenden, um DNS Datensätze für private Domains zu hosten, einschließlich Ressourcen in einer VPC privaten von Amazon gehosteten Zone, nicht vertrauenswürdigen Domains in Ihren privaten PKI Domänen und selbstsignierten Zertifikaten.

AWS bietet Unterstützung für öffentlich nicht vertrauenswürdige Domains über AWS Private CADienst.

Die Validierung ist erfolgreich, aber die Ausstellung oder Verlängerung schlägt fehl

Schlägt die Zertifikatsausstellung mit der Meldung „Ausstehende Validierung“ fehl, obwohl dies korrekt DNS ist, überprüfen Sie, ob die Ausstellung nicht durch einen Autorisierungsdatensatz der Zertifizierungsstelle () CAA blockiert wird. Weitere Informationen finden Sie unter (Optional) Konfigurieren Sie einen Datensatz CAA.

Die Validierung schlägt für einen DNS Server auf einem fehl VPN

Wenn Sie einen DNS Server auf einem finden VPN und ein Zertifikat ACM nicht anhand dieses Zertifikats validieren können, überprüfen Sie, ob der Server öffentlich zugänglich ist. Die öffentliche Ausstellung von Zertifikaten mithilfe von ACM DNS Validierung setzt voraus, dass die Domaineinträge über das öffentliche Internet aufgelöst werden können.