DNS 검증 문제 해결 - AWS 인증서 관리자

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

DNS 검증 문제 해결

DNS로 인증서를 검증하는 경우 다음 지침을 참조하십시오.

DNS 문제 해결의 첫 번째 단계는 다음과 같은 도구를 사용하여 도메인의 현재 상태를 확인하는 것입니다.

DNS 공급자가 금지하는 밑줄

DNS 공급자가 CNAME 값의 앞에 붙는 밑줄을 금지하는 경우, ACM에서 제공하는 값에서 밑줄을 삭제한 상태에서 도메인을 검증할 수 있습니다. 예를 들어, 검증을 위해 CNAME 값 _x2.acm-validations.awsx2.acm-validations.aws로 변경할 수 있습니다. 단, CNAME 이름 파라미터는 항상 밑줄로 시작해야 합니다.

도메인 검증 시 아래의 표에서 오른쪽에 있는 값 중 하나를 사용할 수 있습니다.

명칭

유형

_<random value>.example.com.

CNAME

_<random value>.acm-validations.aws.

_<random value>.example.com.

CNAME

<random value>.acm-validations.aws.

DNS 공급자가 추가한 기본 후행 기간

일부 DNS 공급자는 사용자가 제공하는 CNAME 값에 후행 기간을 기본적으로 추가합니다. 따라서 기간을 직접 추가하면 오류가 발생합니다. 예를 들어 ”<random_value>.acm-validations.aws.“는 거부되지만 ”<random_value>.acm-validations.aws“는 허용됩니다.

GoDaddy의 DNS 검증 실패

ACM에서 제공하는 CNAME 값을 수정하지 않는 한 Godaddy 및 기타 레지스트리에 등록된 도메인에 대한 DNS 검증이 실패할 수 있습니다. example.com을 도메인 이름으로 간주하면 발급된 CNAME 레코드의 형식이 다음과 같습니다.

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

다음과 같이 NAME 필드의 끝에서 apex 도메인(마침표 포함)을 잘라내서 GoDaddy와 호환되는 CNAME 레코드를 만들 수 있습니다.

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

ACM 콘솔에서 ‘Route 53에 레코드 생성’ 버튼이 나타나지 않음

Amazon Route 53를 DNS 공급자로 선택할 경우 AWS Certificate Manager이(가) 직접 상호 작용하여 도메인 소유권을 확인할 수 있습니다. 경우에 따라 콘솔의 Route 53에 레코드 생성 버튼을 정상적으로 사용하지 못할 수도 있습니다. 이러한 일이 발생할 경우, 다음 발생 가능 원인을 확인합니다.

  • Route 53을 DNS 공급자로 사용하지 않고 있습니다.

  • 다른 계정들을 통해 ACM 및 Route 53으로 로그인했습니다.

  • Route 53에서 호스팅한 영역에 레코드를 생성하기 위한 IAM 권한이 부족합니다.

  • 사용자 또는 누군가가 이미 도메인을 검증했습니다.

  • 도메인은 공개적으로 주소를 지정할 수 없습니다.

프라이빗(신뢰할 수 없는) 도메인에서 Route 53 검증 실패

DNS 검증 중에 ACM은 공개적으로 호스팅되는 영역에서 CNAME를 검색합니다. 검색되지 않으면 72시간 후에 시간이 초과되어 검증 시간 초과 상태가 됩니다. Amazon VPC 프라이빗 호스팅 영역, 프라이빗 PKI에서 신뢰할 수 없는 도메인, 자체 서명된 인증서 내의 리소스를 포함하는 프라이빗 도메인에 대한 DNS 레코드를 호스팅하는 데 이를 사용할 수 없습니다.

AWS은(는) AWS Private CA 서비스를 통해 공개적으로 신뢰할 수 없는 도메인에 대한 지원을 제공합니다.

DNS 검증이 성공했지만 발급 또는 갱신이 실패한 경우

DNS가 올바른데도 "검증 보류 중"과 함께 인증서 발급이 실패하는 경우 인증 기관 권한 부여(CAA) 레코드에 의해 발급이 차단되고 있지 않은지 확인하세요. 자세한 내용은 (선택 사항) CAA 레코드 구성 단원을 참조하십시오.

VPN에서 DNS 서버 검증 실패

VPN에서 DNS 서버를 찾았는데 ACM이 해당 DNS 서버에 대해 인증서를 검증하지 못할 경우, 서버에 공개적으로 액세스할 수 있는지 확인합니다. ACM DNS 검증을 사용하여 퍼블릭 인증서를 발급하려면 퍼블릭 인터넷을 통해 도메인 레코드를 확인할 수 있어야 합니다.