本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Certificate Manager DNS驗證
網域名稱系統 (DNS) 是連線至網路之資源的目錄服務。您的DNS提供商維護一個包含定義域的記錄的數據庫。當您選擇DNS驗證時,會ACM提供一或多個必須新增至此資料庫的CNAME記錄。這些記錄包含唯一的鍵值組,可作為您控制網域的證明。
注意
建立具有電子郵件驗證的憑證之後,您無法切換為使DNS用驗證憑證。若要使用DNS驗證,請刪除憑證,然後建立使用驗證的新憑DNS證。
例如,如果您要求使用其他名稱的example.com
網域憑證,則會www.example.com
為您ACM建立兩CNAME筆記錄。每個專為您的網域和帳戶建立的記錄皆包含名稱和值。該值是指向一個別名 AWS ACM用於自動續約憑證的網域。這些CNAME記錄只能添加到您的DNS數據庫一次。ACM只要憑證在使用中且您的CNAME記錄仍在原處,就會自動更新您的憑證。
重要
如果您不使用 Amazon Route 53 管理公開DNS記錄,請聯絡您的DNS供應商以瞭解如何新增記錄。如果您沒有編輯域名DNS數據庫的權限,則必須改用電子郵件驗證。
不需要重複驗證,只要CNAME記錄保留,您就可以為您的完整網域名稱 (FQDN) 要求額外的ACM憑證。也就是說,您可以建立具有相同網域名稱的替代憑證,或建立涵蓋不同子網域的憑證。由於CNAME驗證令牌適用於任何 AWS 地區,您可以在多個區域中重新建立相同的憑證。您也可以取代已刪除的憑證。
您可以停止自動續訂,方法是移除憑證 AWS 服務與它相關聯或通過刪除記CNAME錄。如果 Route 53 不是您的DNS提供者,請聯絡您的供應商以瞭解如何刪除記錄。如果您的供應商是 Route 53,請參閱 Route 53 開發人員指南中的刪除資源記錄集。如需受管的憑證續約的詳細資訊,請參閱「受管理的憑證續約 AWS Certificate Manager」。
注意
CNAME如果超過五個在您的DNS組態中連結CNAMEs在一起,解析度將會失敗。如果您需要更長的鏈結,建議使用電子郵件驗證。
如何CNAME記錄工ACM作
注意
本節適用於不使用 Route 53 作為其DNS供應商的客戶。
如果您不使用 Route 53 作為您的提DNS供商,則需要手動將提供的CNAME記錄輸入ACM到您的提供商的數據庫中,通常是通過網站。CNAME記錄用於多種目的,包括作為重定向機制和供應商特定元數據的容器。對於ACM,這些記錄允許初始網域擁有權驗證和持續的自動憑證續約。
下表顯示六個網域名稱的範例CNAME記錄。每筆記錄的記錄名稱-記錄值配對用於驗證網域名稱所有權。
請注意,在表格中,前兩個記錄名稱-記錄值配對是相同的。這說明了對於萬用字元網域 (例如*.example.com
,由ACM建立的字串) 與為其基礎網域建立的字串相同。example.com
若非如此,每個網域名稱的配對記錄名稱和記錄值會有所不同。
網域名稱 | 記錄名稱 | 記錄值 | 註解 |
---|---|---|---|
*.example.com | _x1 . 例子. |
_x2 . ACM-驗證. |
Identical (相同) |
example。com | _x1 . 例子. |
_x2 . ACM-驗證. |
|
www.example.com | _x3 . 例子. |
_x4 . ACM-驗證. |
唯一 |
host.example.com | _x5 . 主機. 例如. |
_x6 . ACM-驗證. |
唯一 |
subdomain.example.com | _x7 . 子域名. 例子. |
_x8 . ACM-驗證. |
唯一 |
host.subdomain.example.com | _x9 . 主機. 子域名. |
_x10 . ACM-驗證. |
唯一 |
所以此 xN
下劃線(_)後面的值是由生成的長字符串ACM。例如:
_
3639ac514e785e898d2646601fa951d5
.example.com.
代表產生的記錄名稱。相關聯的記錄值可能是
_
98d2646601fa951d53639ac514e785e8
.acm-validation.aws.
對於相同的DNS記錄。
注意
如果您的DNS提供者不支援帶有前導底線的CNAME值,請參閱疑難排解DNS驗證問題。
當您要求憑證並指定DNS驗證時,會以下列格式ACM提供CNAME資訊:
網域名稱 | 記錄名稱 | 記錄類型 | 記錄值 |
---|---|---|---|
example。com | _a79865eb4cd1a6ab990a45779b4e0b96.example.com。 | CNAME |
_424c7224e9b0146f9a8808af955727d0.acm-validations.aws。 |
網域名稱是與憑證FQDN相關聯的。記錄名稱為鍵值組的索引鍵,能唯一識別記錄。記錄值為鍵值組的值。
這三個值(網域名稱、記錄名稱和記錄值)都必須輸入到DNS供應商 Web 介面的適當欄位中,才能新增DNS記錄。供應商處理記錄名稱 (或單純「名稱」) 欄位的做法不一致。在某些情況下,您應該提供整個字符串,如上所示。其他供應商會自動將網域名稱附加到您輸入的任何字串中,這表示 (在本例中) 您應該只輸入
_a79865eb4cd1a6ab990a45779b4e0b96
到名稱欄位中。如果您猜錯了,並輸入包含網域名稱 (例如 .example.com
) 的記錄名稱,最終可能會產生以下結果:
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
在這種情況下,驗證將會失敗。因此,您應該試著事先確定您的供應商所期望的輸入類型。
設定DNS驗證
本節說明如何設定公用憑證以使用DNS驗證。
在主控台中設定DNS驗證
注意
此程序假設您已建立至少一個憑證,且您正在 AWS 您建立它的區域。如果您嘗試開啟主機,而是看到第一次使用的畫面,或是成功開啟主機,但在清單中看不到您的憑證,請確認您已指定正確的區域。
-
在開啟ACM主控台https://console.aws.amazon.com/acm/
。 -
在憑證清單中,選擇具有您想要設定的 Pending validation(待定驗證)狀態的憑證之 Certificate ID(憑證 ID)。此動作會開啟憑證的詳細資料頁面。
-
在 Domains(網域)部分中,完成下列兩個程序之一:
-
(選用) 使用 Route 53 進行驗證。
Create records in Route 53(在 Route 53 中建立記錄)按鈕會在符合以下情況時顯示:
-
您使用 Route 53 作為您的DNS提供者。
-
您擁有寫入 Route 53 託管區域的許可。
-
您FQDN尚未通過驗證。
注意
如果您實際上正在使用 Route 53,但在 Route 53 中建立記錄按鈕遺失或停用,請參閱 ACM控制台不顯示「在路線 53 中創建記錄」按鈕。
選擇 Create records in Route 53(在 Route 53 中建立記錄)按鈕,然後選擇 Create records(建立記錄)。[憑證狀態] 頁面應該會開啟,並顯示狀態標題報告已成功建立DNS記錄。
您的新憑證可能會繼續顯示 Pending validation(待定驗證)狀態最多 30 分鐘。
提示
您無法以編程方式請求在 Route 53 中ACM自動創建記錄。但是,你可以做一個 AWS CLI 或者API打電話給路線 53 在路線 53 DNS 數據庫中創建記錄。如需有關 Route 53 記錄集的詳細資訊,請參閱使用 Route 53使用資源記錄集。
-
-
(可選)如果您不使用 Route 53 作為您的DNS提供者,則必須檢索CNAME信息並將其添加到DNS數據庫中。在新憑證的詳細資訊頁面上,您可透過以下兩種方式執行此操作:
-
複製「網域」區段中顯示的CNAME元件。此資訊必須手動新增至您的資DNS料庫。
-
或者,選擇「匯出至」CSV。結果檔案中的資訊需要手動新增至資DNS料庫。
重要
若要避免驗證問題,請如何CNAME記錄工ACM作在將資訊新增至DNS提供者的資料庫之前先檢閱。如果您遇到問題,請參閱「排解DNS驗證問題」。
-
-
如果ACM無法在產生CNAME值之後的 72 小時內驗證網域名稱,請將憑證狀態ACM變更為驗證逾時。產生此結果的最可能原因是您未使用ACM產生的值成功更新DNS組態。若要解決此問題,您必須在檢閱CNAME指示後要求新憑證。