排解DNS驗證問題 - AWS Certificate Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

排解DNS驗證問題

如果您在驗證憑證時遇到問題,請參閱下列指南。DNS

DNS疑難排解的第一個步驟是使用下列工具檢查網域目前的狀態:

提供商禁止的DNS下劃線

如果您的提DNS供商禁止CNAME值中的前導下劃線,則可以從ACM提供的值中刪除底線,並在沒有它的情況下驗證您的域。例如,_x2.acm-validations.aws可以將CNAME值變更x2.acm-validations.aws為以進行驗證。但是,CNAMEname 參數必須始終以前導下劃線開頭。

您可以使用下表右側中的任一值來驗證網域。

名稱

Type

Value

_<random value>.example.com.

CNAME

_<random value>.acm-validations.aws.

_<random value>.example.com.

CNAME

<random value>.acm-validations.aws.

由DNS提供者新增的預設後置週期

根據預設,某些提供DNS者會在您提供的CNAME值中新增一個後置週期。因此,自行新增句點會導致錯誤。例如,「<random_value>.acm-validations.aws.」會遭拒絕,而「<random_value>.acm-validations.aws」被接受。

DNS驗證 GoDaddy 失敗

DNS在 Godaddy 和其他註冊機構註冊的網域驗證可能會失敗,除非您修改提供的CNAMEACM值。以 example.com 作為域名,發行的CNAME記錄具有以下形式:

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

您可以在NAME欄位結尾截斷頂點網域 (包括句點) GoDaddy 來建立相容的CNAME記錄,如下所示:

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

ACM控制台不顯示「在路線 53 中創建記錄」按鈕

如果您選擇 Amazon 路線 53 作為您的DNS供應商, AWS Certificate Manager 可以直接與其互動以驗證您的域所有權。在某些情況下,當您需要使用主控台的在 Route 53 中建立記錄按鈕時,該按鈕可能無法使用。如果發生這種情況,請檢查下列可能的原因。

  • 您沒有使用 Route 53 作為您的DNS提供者。

  • 您已通過不同的帳戶登錄ACM並使用 Route 53。

  • 您缺乏在 Route 53 託管的區域中建立記錄的IAM權限。

  • 您或別人已驗證過網域。

  • 網域無法公開定址。

私有 (不信任) 網域上的 Route 53 驗證失敗

在DNS驗證期間,會CNAME在公開託管的區域中ACM搜尋。如果找不到,則系統會在 72 小時後逾時,顯示狀態為 Validation timed out (驗證逾時)。您無法使用它來託管私有網域的DNS記錄,包括 Amazon 私有託管區域中的資源、VPC私有中不受信任的網域以及自我簽署憑證。PKI

AWS 確實通過以下方式為公開不受信任的域提供支持 AWS 私有 CA服務。

驗證成功,但核發或續約失敗

如果憑證發行失敗並顯示「擱置驗證」(即使DNS是正確的),請檢查發行是否未被憑證授權單位授權 (CAA) 記錄封鎖。如需詳細資訊,請參閱(選擇性) 設定CAA記錄

DNS伺服器上的驗證失敗 VPN

如果您在DNS伺服器上找到伺服器VPN,但無ACM法驗證憑證,請檢查伺服器是否可公開存取。使用ACMDNS驗證的公開憑證發行時,網域記錄必須可透過公用網際網路解析。