对DNS验证问题进行故障排除 - AWS 证书 Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对DNS验证问题进行故障排除

如果您在验证证书时遇到问题,请查阅以下指南。DNS

DNS故障排除的第一步是使用以下工具检查域名的当前状态:

DNS提供者禁止使用下划线

如果您的DNS提供商禁止在CNAME值中使用前导下划线,则可以从ACM提供的值中删除下划线,然后在不使用下划线的情况下验证您的域名。例如,为了进行验证,_x2.acm-validations.aws可以将该CNAME值更改为。x2.acm-validations.aws但是,CNAMEname 参数必须始终以前导下划线开头。

您可以使用下表右侧两个值中的任意一个来验证域。

名称

Type

_<random value>.example.com.

CNAME

_<random value>.acm-validations.aws.

_<random value>.example.com.

CNAME

<random value>.acm-validations.aws.

提供商添加的默认追踪周期 DNS

默认情况下,某些DNS提供商会在您提供的CNAME值中添加一个尾随周期。因此,您自己添加句点可能会导致错误。例如,“<random_value>.acm-validations.aws.”将被拒绝,而“<random_value>.acm-validations.aws”将被接受。

DNS验证失 GoDaddy 败

DNS除非您修改提供的CNAME值,否则在 Godaddy 和其他注册管理机构注册的域名的验证可能会失败。ACM以 example.com 为域名,已签发的CNAME记录形式如下:

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

您可以 GoDaddy 通过截断NAME字段末尾的顶点域(包括句点)来创建与兼容的CNAME记录,如下所示:

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

ACM控制台未显示 “在 Route 53 中创建记录” 按钮

如果您选择亚马逊 Route 53 作为您的DNS提供商, AWS Certificate Manager 可以直接与之交互以验证您的域名所有权。在某些情况下,控制台的 Create record in Route 53(在 Route 53 中创建记录)按钮可能未按预期可用。如果发生这种情况,请检查以下可能原因。

  • 您没有使用 53 号公路作为您的DNS提供商。

  • 您已通过不同的账户登录ACM和 Route 53。

  • 您缺乏在 Route 53 托管的区域中创建记录的IAM权限。

  • 您或其他人已验证该域。

  • 该域不可公开寻址。

私有(不受信任)域上的 Route 53 验证失败

DNS验证期间,CNAME在公共托管区域中ACM搜索。如果没有找到,则在 72 小时后超时,状态为 Validation timed out (验证超时)。您不能使用它来托管私有域的DNS记录,包括 Amazon VPC 私有托管区域中的资源、私有PKI域中的不可信域和自签名证书。

AWS 确实通过以下方式为公开不受信任的域提供支持 AWS 私有 CA服务。

验证成功,但签发或续订失败

如果证书颁发失败并显示 “待验证”,尽管DNS是正确的,但请检查证书颁发机构授权 (CAA) 记录是否阻止了颁发。有关更多信息,请参阅 (可选)配置CAA记录

DNS服务器上的验证失败 VPN

如果您在上找到了DNS服务器VPN,但ACM未能根据该服务器验证证书,请检查该服务器是否可公开访问。使用ACMDNS验证颁发公共证书要求域记录可通过公共互联网进行解析。