本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
DNS驗證
網域名稱系統 (DNS) 是連線至網路之資源的目錄服務。您的DNS提供商維護一個包含定義域的記錄的數據庫。當您選擇DNS驗證時,會ACM提供一或多個必須新增至此資料庫的CNAME記錄。這些記錄包含唯一的鍵值組,可作為您控制網域的證明。
注意
建立具有電子郵件驗證的憑證之後,您無法切換為使DNS用驗證憑證。若要使用DNS驗證,請刪除憑證,然後建立使用驗證的新憑DNS證。
例如,如果您要求使用其他名稱的example.com網域憑證,則會www.example.com為您ACM建立兩CNAME筆記錄。每個專為您的網域和帳戶建立的記錄皆包含名稱和值。該值是指向用於自動續約憑證的 AWS ACM網域的別名。這些CNAME記錄只能添加到您的DNS數據庫一次。ACM只要憑證正在使用中且您的CNAME記錄仍在原處,就會自動更新您的憑證。
重要
如果您不使用 Amazon Route 53 管理公開DNS記錄,請聯絡您的DNS供應商以瞭解如何新增記錄。如果您沒有編輯域名DNS數據庫的權限,則必須改用電子郵件驗證。
不需要重複驗證,只要CNAME記錄保留,您就可以為您的完整網域名稱 (FQDN) 要求額外的ACM憑證。也就是說,您可以建立具有相同網域名稱的替代憑證,或建立涵蓋不同子網域的憑證。由於CNAME驗證令牌適用於任何 AWS 區域,因此您可以在多個區域中重新創建相同的證書。您也可以取代已刪除的憑證。
您可以從與其相關聯的 AWS 服務中移除憑證,或刪除CNAME記錄來停止自動續訂。如果 Route 53 不是您的DNS提供者,請聯絡您的供應商以瞭解如何刪除記錄。如果您的供應商是 Route 53,請參閱 Route 53 開發人員指南中的刪除資源記錄集。如需受管的憑證續約的詳細資訊,請參閱「ACM憑證的受管理續約」。
注意
CNAME如果您的DNS組態中有超過五個以上的連結CNAMEs在一起,解析度將會失敗。如果您需要更長的鏈結,建議使用電子郵件驗證。
如何CNAME記錄工ACM作
注意
本節適用於不使用 Route 53 作為其DNS供應商的客戶。
如果您不使用 Route 53 作為您的提DNS供商,則需要手動將提供的CNAME記錄輸入ACM到您的提供商的數據庫中,通常是通過網站。CNAME記錄用於多種目的,包括作為重定向機制和供應商特定元數據的容器。對於ACM,這些記錄允許初始網域擁有權驗證和持續的自動憑證續約。
下表顯示六個網域名稱的範例CNAME記錄。每筆記錄的記錄名稱-記錄值配對用於驗證網域名稱所有權。
請注意,在表格中,前兩個記錄名稱-記錄值配對是相同的。這說明了對於萬用字元網域 (例如*.example.com,由ACM建立的字串) 與為其基礎網域建立的字串相同。example.com若非如此,每個網域名稱的配對記錄名稱和記錄值會有所不同。
範例CNAME記錄 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 網域名稱 | 記錄名稱 | 記錄值 | 註解 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| *.example.com | _x1. 例子. |
_x2. ACM-驗證. |
Identical (相同) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| example。com | _x1. 例子. |
_x2. ACM-驗證. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| www.example.com | _x3. 例子. |
_x4. ACM-驗證. |
唯一 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| host.example.com | _x5. 主機. 例如. |
_x6. ACM-驗證. |
唯一 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| subdomain.example.com | _x7. 子域名. 例子. |
_x8. ACM-驗證. |
唯一 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| host.subdomain.example.com | _x9. 主機. 子域名. |
_x10. ACM-驗證. |
唯一 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
所以此 xN 下劃線(_)後面的值是由生成的長字符串ACM。例如:
_3639ac514e785e898d2646601fa951d5.example.com.
代表產生的記錄名稱。相關聯的記錄值可能是
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
對於相同的DNS記錄。
注意
如果您的DNS提供者不支援帶有前導底線的CNAME值,請參閱疑難排解DNS驗證問題。
當您要求憑證並指定DNS驗證時,會以下列格式ACM提供CNAME資訊:
| 網域名稱 | 記錄名稱 | 記錄類型 | 記錄值 |
|---|---|---|---|
| example。com | _a79865eb4cd1a6ab990a45779b4e0b96.example.com。 | CNAME |
_424c7224e9b0146f9a8808af955727d0.acm-validations.aws。 |
網域名稱是與憑證FQDN相關聯的。記錄名稱為鍵值組的索引鍵,能唯一識別記錄。記錄值為鍵值組的值。
這三個值(網域名稱、記錄名稱和記錄值)都必須輸入到DNS供應商 Web 介面的適當欄位中,才能新增DNS記錄。供應商處理記錄名稱 (或單純「名稱」) 欄位的做法不一致。在某些情況下,您應該提供整個字符串,如上所示。其他供應商會自動將網域名稱附加到您輸入的任何字串中,這表示 (在本例中) 您應該只輸入
_a79865eb4cd1a6ab990a45779b4e0b96
到名稱欄位中。如果您猜錯了,並輸入包含網域名稱 (例如 .example.com) 的記錄名稱,最終可能會產生以下結果:
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
在這種情況下,驗證將會失敗。因此,您應該試著事先確定您的供應商所期望的輸入類型。
設定DNS驗證
本節說明如何設定公用憑證以使用DNS驗證。
在主控台中設定DNS驗證
注意
此程序假設您至少已建立一個憑證,而且您正在建立憑證的 AWS 區域中工作。如果您嘗試開啟主機,而是看到第一次使用的畫面,或是成功開啟主機,但在清單中看不到您的憑證,請確認您已指定正確的區域。
-
開啟位於 ACM 的 https://console.aws.amazon.com/acm/
主控台。 -
在憑證清單中,選擇具有您想要設定的 Pending validation(待定驗證)狀態的憑證之 Certificate ID(憑證 ID)。此動作會開啟憑證的詳細資料頁面。
-
在 Domains(網域)部分中,完成下列兩個程序之一:
-
(選用) 使用 Route 53 進行驗證。
Create records in Route 53(在 Route 53 中建立記錄)按鈕會在符合以下情況時顯示:
-
您使用 Route 53 作為您的DNS提供者。
-
您擁有寫入 Route 53 託管區域的許可。
-
您FQDN尚未通過驗證。
注意
如果您實際上正在使用 Route 53,但在 Route 53 中建立記錄按鈕遺失或停用,請參閱 ACM控制台不顯示「在 Route 53 中創建記錄」按鈕。
選擇 Create records in Route 53(在 Route 53 中建立記錄)按鈕,然後選擇 Create records(建立記錄)。[憑證狀態] 頁面應該會開啟,並顯示狀態標題報告已成功建立DNS記錄。
您的新憑證可能會繼續顯示 Pending validation(待定驗證)狀態最多 30 分鐘。
提示
您無法以編程方式請求在 Route 53 中ACM自動創建記錄。但是,您可以API撥打 AWS CLI 或呼叫 Route 53,以在 Route 53 DNS 資料庫中建立記錄。如需有關 Route 53 記錄集的詳細資訊,請參閱使用 Route 53使用資源記錄集。
-
-
(可選)如果您不使用 Route 53 作為您的DNS提供者,則必須檢索CNAME信息並將其添加到DNS數據庫中。在新憑證的詳細資訊頁面上,您可透過以下兩種方式執行此操作:
-
複製「網域」區段中顯示的CNAME元件。此資訊必須手動新增至您的資DNS料庫。
-
或者,選擇「匯出至」CSV。結果檔案中的資訊需要手動新增至資DNS料庫。
重要
若要避免驗證問題,請如何CNAME記錄工ACM作在將資訊新增至DNS提供者的資料庫之前先檢閱。如果您遇到問題,請參閱「排解DNS驗證問題」。
-
-
如果ACM無法在產生CNAME值之後的 72 小時內驗證網域名稱,請將憑證狀態ACM變更為驗證逾時。產生此結果的最可能原因是您未使用ACM產生的值成功更新DNS組態。若要解決此問題,您必須在檢閱CNAME指示後要求新憑證。
