Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione dei problemi di convalida DNS
Consultare la seguente guida se si riscontrano problemi nel convalidare un certificato con DNS.
La prima fase nella risoluzione dei problemi DNS consiste nel verificare lo stato corrente del dominio con i seguenti strumenti:
Argomenti
Trattini bassi proibiti dal provider DNS
Se il provider DNS non consente l'utilizzo di trattini bassi iniziali di valori CNAME, è possibile eliminarli dal valore fornito da ACM e convalidare il dominio senza. Ad esempio, il valore CNAME _x2.acm-validations.aws
può essere modificato in x2.acm-validations.aws
per la convalida. Tuttavia, il parametro del nome CNAME deve essere iniziare con un trattino basso.
Per convalidare un dominio è possibile utilizzare uno dei valori a destra della tabella qui di seguito.
Nome |
Tipo |
Valore |
---|---|---|
|
CNAME |
|
|
CNAME |
|
Periodo finale predefinito aggiunto dal provider DNS
Alcuni provider DNS aggiungono per impostazione predefinita un periodo finale al valore CNAME fornito. Di conseguenza, l'aggiunta del periodo provoca un errore. Ad esempio, "<random_value>.acm-validations.aws.
" viene rifiutato mentre "<random_value>.acm-validations.aws
" è accettato.
Convalida DNS in caso di errore GoDaddy
La convalida DNS per i domini registrati con Godaddy e altri registri potrebbe non riuscire a meno che non si modifichino i valori CNAME forniti da ACM. Prendendo example.com come nome di dominio, il record CNAME emesso ha la seguente forma:
NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
È possibile creare un record CNAME compatibile con GoDaddy troncando il dominio apex (incluso il punto) alla fine del campo NAME, come segue:
NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
La console ACM non visualizza il pulsante "Crea record in Route 53"
Se scegli Amazon Route 53 come provider DNS, AWS Certificate Manager puoi interagire direttamente con Amazon Route 53 per convalidare la proprietà del dominio. In alcune circostanze, il pulsante Crea registri in Route 53 della console potrebbe non essere disponibile. In questo caso, verificare le seguenti possibili cause.
-
Non stai utilizzando Route 53 come provider DNS.
-
Hai eseguito l'accesso ad ACM e a Route 53 con account diversi.
-
Mancano le autorizzazioni IAM per la creazione di registri in una zona ospitata da Route 53.
-
L'utente o un'altra persona ha già convalidato il dominio.
-
Il dominio non è indirizzabile pubblicamente.
La convalida di Route 53 non riesce su domini privati (non attendibili)
Durante la convalida DNS, ACM cerca un CNAME in una zona ospitata pubblicamente. Quando non ne trova uno, viene eseguito il timeout dopo 72 ore con uno stato di Validation timed out (Timeout della convalida). Non è possibile utilizzarlo per l'hosting dei record DNS per domini privati, comprese risorse in una zona ospitata privata di Amazon VPC, domini non attendibili nel proprio PKI privato o certificati autofirmati.
AWS fornisce supporto per domini pubblicamente non attendibili tramite il servizio. CA privata AWS
La convalida ha esito positivo ma l'emissione o il rinnovo falliscono
Se l'emissione del certificato fallisce e viene visualizzato il messaggio "Convalida in sospeso" anche se il DNS è corretto, verifica che l'emissione non sia bloccata da un record CAA (Certification Authority Authorization). Per ulteriori informazioni, consulta (Opzionale) Configurazione di un registro CAA.
La convalida non riesce per il server DNS su una VPN
Se individui un server DNS su una VPN e ACM non riesce a convalidare un certificato, verifica se il server è accessibile pubblicamente. Per l'emissione di certificati pubblici con la convalida DNS ACM è necessario che i registri di dominio siano risolvibili tramite Internet pubblico.