As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
O Sistema de Nomes de Domínio (DNS) é um serviço de directory service para recursos conectados a uma rede. Seu provedor de DNS mantém um banco de dados contendo registros que definem seu domínio. Quando você escolhe a validação por DNS, o ACM fornece um ou mais registros CNAME que devem ser adicionados a esse banco de dados. Esses registros contêm um par de chave-valor exclusivo que serve como prova de que você controla o domínio.
nota
Depois de criar um certificado com validação de e-mail, você não pode alternar para validá-lo com DNS. Para usar a validação de DNS, exclua o certificado e crie um novo que use a validação de DNS.
Por exemplo, se você solicitar um certificado para o domínio example.com com www.example.com como um nome adicional, o ACM criará dois registros CNAME para você. Cada registro criado especificamente para seu domínio e sua conta contém um nome e um valor. O valor é um alias que aponta para um AWS domínio que o ACM usa para renovar automaticamente seu certificado. Você adiciona os registros CNAME a seu banco de dados de DNS somente uma vez. O ACM renova seu certificado automaticamente, desde que o certificado esteja em uso e o registro CNAME permaneça em vigor.
Importante
Se você não usa o Amazon Route 53 para gerenciar seus registros públicos de DNS, entre em contato com seu provedor do DNS para saber como adicionar registros. Se não tiver autoridade para editar o banco de dados de DNS do seu domínio, você deve usar a validação por e-mail em seu lugar.
Sem a necessidade de repetir a validação, você pode solicitar certificados adicionais do ACM para seu nome de domínio totalmente qualificado (FQDN) enquanto o registro CNAME permanecer em vigor. Ou seja, você pode criar certificados de substituição com o mesmo nome de domínio ou certificados que cobrem subdomínios diferentes. Como o token de validação CNAME funciona para qualquer AWS região, você pode recriar o mesmo certificado em várias regiões. Você também pode substituir um certificado excluído.
Você pode interromper a renovação automática removendo o certificado do serviço da AWS ao qual ele está associado ou excluindo o registro CNAME. Se o Route 53 não for seu provedor de DNS, entre em contato com o provedor para saber como excluir um registro. Se o Route 53 for seu provedor, consulte Exclusão de conjuntos de registros de recursos no Guia do desenvolvedor do Route 53. Para obter mais informações sobre a renovação de certificados gerenciados, consulte Renovação gerenciada do certificado em AWS Certificate Manager.
nota
A resolução do CNAME falhará se mais de cinco CNAMEs estiverem encadeados em sua configuração de DNS. Se você precisar de um encadeamento mais longo, recomendamos usar a validação por e-mail.
Como funcionam os registros CNAME para o ACM
nota
Esta seção é para clientes que não usam o Route 53 como provedor de DNS.
Se você não estiver usando o Route 53 como seu provedor DNS, precisará inserir manualmente os registros CNAME fornecidos pelo ACM no banco de dados do seu provedor, geralmente por meio de um site. Os registros CNAME são usados para vários fins, inclusive como mecanismos de redirecionamento e como contêineres para metadados específicos do provedor. Para o ACM, esses registros permitem a validação inicial da propriedade do domínio e a renovação automática contínua de certificados.
A tabela a seguir mostra exemplos de registros CNAME para seis nomes de domínio. O par nome de registro-valor do Registro de cada registro serve para autenticar a propriedade do nome do domínio.
Na tabela, note que os dois primeiros pares nome de registro-valor do registro são iguais. Isso ilustra que, para um domínio-curinga, como *.example.com, as strings criadas pelo ACM são as mesmas que as criadas para seu domínio base, example.com. Caso contrário, o par nome de registro e valor do registro é diferente para cada nome de domínio.
| Nome de domínio | Nome de registro | Valor do registro | Comentário |
|---|---|---|---|
| *.exemplo.com | _ x1 .exemplo.com. |
_ x2 .acm-validations.aws. |
Idêntico |
| exemplo.com | _ x1 .exemplo.com. |
_ x2 .acm-validations.aws. |
|
| www.exemplo.com | _ x3 .www.exemplo.com. |
_ x4 .acm-validations.aws. |
Exclusivo |
| host.exemplo.com | _ x5 .host.example.com. |
_ x6 .acm-validations.aws. |
Exclusivo |
| subdomínio.exemplo.com | _ x7 .subdomínio.exemplo.com. |
_ x8 .acm-validations.aws. |
Exclusivo |
| host.subdomínio.exemplo.com | _ x9 .host.subdomain.example.com. |
_ x10 .acm-validations.aws. |
Exclusivo |
Os xN valores após o sublinhado (_) são cadeias de caracteres longas geradas pelo ACM. Por exemplo,
_3639ac514e785e898d2646601fa951d5.example.com.
representa um nome de registro gerado. O valor do registro associado pode ser
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
para o mesmo registro de DNS.
nota
Se o provedor de DNS não suportar os valores de CNAME que comecem com sublinha, consulte Solucionar problemas de validação por DNS.
Quando você solicita um certificado e especifica a validação por DNS, o ACM fornece as informações de CNAME no seguinte formato:
| Nome do domínio | Nome de registro | Tipo de registro | Valor do registro |
|---|---|---|---|
| exemplo.com | _a79865eb4cd1a6ab990a45779b4e0b96.exemplo.com. | CNAME |
_424c7224e9b0146f9a8808af955727d0.acm-validations.aws. |
O nome do domínio é o FQDN associado ao certificado. O nome de registro identifica o registro de forma exclusiva, servindo como a chave do par chave-valor. O valor do registro serve como o valor do par chave-valor.
Todos esses três valores (Nome de domínio, Nome do registro e Valor do registro) devem ser inseridos nos campos apropriados da interface da Web do provedor de DNS para adicionar os registros de DNS. Os provedores são inconsistentes em termos de como tratam o campo de nome do registro (ou apenas "nome"). Em alguns casos, espera-se que você forneça toda a sequência como mostrado acima. Outros provedores adicionam automaticamente o nome de domínio a qualquer sequência que você inserir, o que significa (nesse exemplo) que você deve inserir somente
_a79865eb4cd1a6ab990a45779b4e0b96
no campo de nome. Se você fizer uma suposição errada e inserir um nome de registro que contenha um nome de domínio (como .example.com), o resultado final pode ser o seguinte:
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
A validação não funcionará nesse caso. Consequentemente, você deve tentar determinar antecipadamente que tipo de entrada seu provedor espera.
Configuração da validação por DNS
Esta seção descreve como configurar um certificado público para usar a validação por DNS.
Para configurar a validação por DNS no console
nota
Esse procedimento pressupõe que você já tenha criado pelo menos um certificado e que esteja trabalhando na AWS região em que o criou. Se tentar abrir o console e visualizar a tela de primeiro uso, ou se conseguir abrir o console e não vir seu certificado na lista, verifique se especificou a região correta.
-
Abra o console do ACM em. https://console.aws.amazon.com/acm/
-
Na lista de certificados, escolha o Certificate ID (ID do certificado) de um certificado com status Pending validation (Validação pendente) que você deseja configurar. Isso abre uma página de detalhes para o certificado.
-
Na seção Domains (Domínios), realize um dos dois procedimentos a seguir:
-
(Opcional) Validar com o Route 53.
Um botão Create record in Route 53 (Criar registro no Route 53) ativo será exibido se as seguintes condições forem verdadeiras:
-
Você usa o Route 53 como seu provedor de DNS.
-
Você tem permissão para gravar na zona hospedada pelo Route 53.
-
Seu FQDN ainda não foi validado.
nota
Se você estiver usando o Route 53, mas o botão Criar registros no Route 53 não aparecer ou estiver desabilitado, consulte Console do ACM não exibe o botão “Criar registros no Route 53”.
Selecione o botão Create record in Route 53 (Criar registro no Route 53) e, em seguida, escolha Create records (Criar registros). A página Certificate status (Status do certificado) deve abrir com um banner de status informando Successfully created DNS records (Registros de DNS criados com êxito).
Seu novo certificado pode continuar a exibir um status de Validação pendente por até 30 minutos.
dica
Não é possível solicitar de forma programática que o ACM crie automaticamente seu registro no Route 53. No entanto, você pode fazer uma chamada AWS CLI ou de API para o Route 53 para criar o registro no banco de dados DNS do Route 53. Para obter mais informações sobre conjuntos de registros do Route 53, consulte Trabalho com conjuntos de registros de recursos.
-
-
(Opcional) Se não estiver usando o Route 53 como seu provedor de DNS, você deve recuperar as informações de CNAME e adicioná-las a seu banco de dados de DNS. Na página de detalhes do novo certificado, é possível fazer isso de duas formas:
-
Copie os componentes do CNAME exibidos na seção Domains (Domínios). As informações precisam ser adicionadas manualmente ao banco de dados de DNS.
-
Outra alternativa é escolher Export to CSV (Exportar para CSV). É necessário adicionar as informações do arquivo resultante manualmente ao seu banco de dados de DNS.
Importante
Para evitar problemas de validação, revise Como funcionam os registros CNAME para o ACM antes de adicionar informações ao banco de dados do seu provedor de DNS. Se você tiver problemas, consulte Solucionar os problemas de validação por DNS.
-
-
Se o ACM não puder validar o nome do domínio em até 72 horas a partir do momento em que gera um valor de CNAME para você, o ACM altera o status do certificado para Prazo de validação esgotado. O motivo mais provável para este resultado é você não ter atualizado sua configuração de DNS com o valor gerado pelo ACM. Para corrigir esse problema, você deve solicitar um novo certificado após revisar as instruções de CNAME.
