Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Le système de noms de domaine (DNS) est un service d'annuaire pour les ressources connectées à un réseau. Votre DNS fournisseur gère une base de données contenant les enregistrements qui définissent votre domaine. Lorsque vous choisissez DNS la validationACM, un ou plusieurs CNAME enregistrements doivent être ajoutés à cette base de données. Ces enregistrements contiennent une paire clé-valeur unique qui prouve que vous contrôlez le domaine.
Note
Après avoir créé un certificat avec validation par e-mail, vous ne pouvez pas passer à la validation avecDNS. Pour utiliser la DNS validation, supprimez le certificat, puis créez-en un nouveau qui utilise DNS la validation.
Par exemple, si vous demandez un certificat pour le example.com domaine avec www.example.com comme nom supplémentaire, il ACM crée deux CNAME enregistrements pour vous. Chacun des enregistrements créés spécifiquement pour votre domaine et votre compte contient un nom et une valeur. La valeur est un alias qui pointe vers un AWS domaine ACM utilisé pour renouveler automatiquement votre certificat. Les CNAME enregistrements ne doivent être ajoutés à votre DNS base de données qu'une seule fois. ACMrenouvelle automatiquement votre certificat tant que celui-ci est utilisé et que votre CNAME dossier reste en place.
Important
Si vous n'utilisez pas Amazon Route 53 pour gérer vos DNS archives publiques, contactez votre DNS fournisseur pour savoir comment ajouter des enregistrements. Si vous n'êtes pas autorisé à modifier la DNS base de données de votre domaine, vous devez plutôt utiliser la validation par e-mail.
Sans avoir à répéter la validation, vous pouvez demander des ACM certificats supplémentaires pour votre nom de domaine complet (FQDN) tant que l'CNAMEenregistrement reste en place. En d'autres termes, vous pouvez créer des certificats de remplacement portant le même nom de domaine, ou des certificats couvrant différents sous-domaines. Étant donné que le jeton CNAME de validation fonctionne pour n'importe quel AWS Région, vous pouvez recréer le même certificat dans plusieurs régions. Vous pouvez également remplacer un certificat supprimé.
Vous pouvez arrêter le renouvellement automatique soit en supprimant le certificat du AWS service auquel il est associé ou en supprimant l'CNAMEenregistrement. Si Route 53 n'est pas votre DNS fournisseur, contactez celui-ci pour savoir comment supprimer un enregistrement. Si Route 53 est votre fournisseur, consultez Suppression de jeux d'enregistrements de ressources dans le Guide du développeur Route 53. Pour plus d'informations sur le renouvellement de certificats gérés, consultez Renouvellement géré des certificats dans AWS Certificate Manager.
Note
CNAMEla résolution échouera si plus de cinq CNAMEs sont enchaînés dans votre DNS configuration. Si vous avez besoin d'un enchaînement plus long, nous vous recommandons d'utiliser la validation par e-mail.
Comment CNAME enregistrer des informations pour le ACM travail
Note
Cette section est destinée aux clients qui n'utilisent pas Route 53 comme DNS fournisseur.
Si vous n'utilisez pas Route 53 comme DNS fournisseur, vous devez saisir manuellement les CNAME enregistrements fournis par ACM dans la base de données de votre fournisseur, généralement via un site Web. CNAMEles enregistrements sont utilisés à diverses fins, notamment en tant que mécanismes de redirection et en tant que conteneurs pour les métadonnées spécifiques au fournisseur. En effetACM, ces enregistrements permettent la validation initiale de la propriété du domaine et le renouvellement automatique continu des certificats.
Le tableau suivant présente des exemples d'CNAMEenregistrements pour six noms de domaine. La paire Nom de l'enregistrement-Valeur de l'enregistrement de chaque enregistrement sert à authentifier la propriété du nom de domaine.
Dans le tableau, notez que les deux premières paires Nom de l'enregistrement-Valeur de l'enregistrement sont identiques. Cela montre que pour un domaine joker, par exemple*.example.com, les chaînes créées par ACM sont les mêmes que celles créées pour son domaine de base,. example.com Sinon, la paire Nom de l'enregistrement-Valeur de l'enregistrementdiffère pour chaque nom de domaine.
| Nom de domaine | Nom de l'enregistrement | Valeur de l'enregistrement | Comment |
|---|---|---|---|
| *.example.com | _x1.exemple.com. |
_x2.acm-validations.aws. |
Identical (éléments identiques) |
| example.com | _x1.exemple.com. |
_x2.acm-validations.aws. |
|
| www.example.com | _x3. www.exemple.com. |
_x4.acm-validations.aws. |
Unique |
| host.example.com | _x5.host.exemple.com. |
_x6.acm-validations.aws. |
Unique |
| subdomain.example.com | _x7.sous-domain.exemple.com. |
_x8.acm-validations.aws. |
Unique |
| host.subdomain.example.com | _x9.host.sous-domain.exemple.com. |
_x10.acm-validations.aws. |
Unique |
Le xN les valeurs situées après le trait de soulignement (_) sont de longues chaînes générées parACM. Par exemple,
_3639ac514e785e898d2646601fa951d5.example.com.
est représentatif d'un résultat généré pour le Nom de l'enregistrement. La Valeur de l'enregistrement associée pourrait être
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
pour le même DNS record.
Note
Si votre DNS fournisseur ne prend pas en charge CNAME les valeurs marquées d'un trait de soulignement, consultez la section Résolution des problèmes de DNS validation.
Lorsque vous demandez un certificat et spécifiez DNS la validation, ACM fournit des CNAME informations au format suivant :
| Nom de domaine | Nom de l'enregistrement | Type d'enregistrement | Valeur de l'enregistrement |
|---|---|---|---|
| example.com | _a79865eb4cd1a6ab990a45779b4e0b96.example.com. | CNAME |
_424c7224e9b0146f9a8808af955727d0.acm-validations.aws. |
Le nom de domaine est FQDN associé au certificat. Le Nom de l'enregistrement identifie l'enregistrement de manière unique, en servant de clé dans la paire clé-valeur. La Valeur d'enregistrement sert de valeur dans la paire clé-valeur.
Ces trois valeurs (nom de domaine, nom d'enregistrement et valeur d'enregistrement) doivent être saisies dans les champs appropriés de l'interface Web de votre DNS fournisseur pour ajouter DNS des enregistrements. Les fournisseurs ne traitent pas nom de l'enregistrement (ou « nom ») de la même manière. Dans certains cas, vous devez fournir la chaîne entière comme illustré ci-dessus. D'autres fournisseurs ajoutent automatiquement le nom de domaine à la chaîne que vous entrez, ce qui signifie (dans cet exemple) que vous ne devez entrer que
_a79865eb4cd1a6ab990a45779b4e0b96
dans le champ de nom. Si vous vous trompez et que vous saisissez un nom d'enregistrement qui contient un nom de domaine (tel que .example.com), vous risquez de vous retrouver avec ce qui suit :
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
Dans ce cas, la validation échouera. Par conséquent, vous devez essayer de déterminer à l'avance quel type de données votre fournisseur attend.
Configuration de la DNS validation
Cette section décrit comment configurer un certificat public pour utiliser DNS la validation.
Pour configurer la DNS validation dans la console
Note
Cette procédure suppose que vous avez déjà créé au moins un certificat et que vous travaillez dans AWS Région dans laquelle vous l'avez créé. Si vous essayez d'ouvrir la console et que l'écran de première utilisation s'affiche à la place, ou si vous réussissez à ouvrir la console et que votre certificat ne figure pas dans la liste, vérifiez que vous avez spécifié la bonne région.
-
Ouvrez la ACM console à l'adresse https://console.aws.amazon.com/acm/
. -
Dans la liste des certificats, choisissez l’ID de certificat d'un certificat avec statut Validation en attente que vous souhaitez configurer. Cette opération ouvre une page d’informations pour le certificat.
-
Dans la section Domaines, effectuez l'une des deux procédures suivantes :
-
(Facultatif) Validez à l'aide de Route 53.
Un bouton Créer des enregistrements dans Route 53 actif apparaît si les conditions suivantes sont réunies :
-
Vous utilisez Route 53 comme DNS fournisseur.
-
Vous disposez de l'autorisation nécessaire pour écrire dans la zone hébergée par Route 53.
-
FQDNLe vôtre n'a pas encore été validé.
Note
Si vous utilisez Route 53 mais que le bouton Créer des enregistrements dans Route 53 est absent ou désactivé, consultez ACMLa console n'affiche pas le bouton « Créer des enregistrements dans Route 53 ».
Choisissez le bouton Créer des enregistrements dans Route 53, puis Create (Créer). La page d'état du certificat doit s'ouvrir avec une bannière d'état signalant les DNSenregistrements créés avec succès.
Votre nouveau certificat doit rester affiché avec le statut Validation en attente pendant au moins 30 minutes.
Astuce
Vous ne pouvez pas demander par programmation de créer ACM automatiquement votre enregistrement dans Route 53. Vous pouvez cependant créer un AWS CLI ou API appelez Route 53 pour créer l'enregistrement dans la base de DNS données Route 53. Pour plus d'informations sur les jeux d'enregistrements Route 53, consultez Utilisation de jeux d'enregistrements de ressources.
-
-
(Facultatif) Si vous n'utilisez pas Route 53 comme DNS fournisseur, vous devez récupérer les CNAME informations et les ajouter à votre DNS base de données. Sur la page de détails du nouveau certificat, effectuez cette opération de deux manières :
-
Copiez les CNAME composants affichés dans la section Domaines. Ces informations doivent être ajoutées manuellement à votre DNS base de données.
-
Vous pouvez également choisir Exporter vers CSV. Les informations contenues dans le fichier obtenu doivent être ajoutées manuellement à votre DNS base de données.
Important
Pour éviter les problèmes de validation, vérifiez Comment CNAME enregistrer des informations pour le ACM travail avant d'ajouter des informations à la base de données de votre DNS fournisseur. Si vous rencontrez des problèmes, consultez Résoudre les problèmes DNS de validation.
-
-
S'il n'ACMest pas en mesure de valider le nom de domaine dans les 72 heures suivant la génération d'une CNAME valeur pour vous, ACM change le statut du certificat en Validation expiré. La raison la plus probable de ce résultat est que vous n'avez pas réussi à mettre à jour votre DNS configuration avec la valeur ACM générée. Pour remédier à ce problème, vous devez demander un nouveau certificat après avoir pris connaissance des CNAME instructions.
