自訂網域名稱 - AWS App Runner
取得自訂網域的建立失敗錯誤取得自訂網域的 DNS 憑證驗證擱置錯誤基本的疑難排解自訂網域憑證續約

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自訂網域名稱

本節說明如何疑難排解和解決連結至自訂網域時可能會遇到的各種錯誤。

注意

為了增強應用程式執行器應用程式的安全性,*.awsapprunner.com 網域註冊在公用尾碼清單 (PSL) 中。為了進一步的安全性,如果您需要在 App Runner 應用程式的預設網域名稱中設定敏感性 Cookie,建議您使用__Host-前置詞的 Cookie。此做法將有助於保護您的網域免受跨站請求偽造 (CSRF) 攻擊。如需更多資訊,請參閱 Mozilla 開發人員網路中的設定 Cookie 頁面。

取得自訂網域的建立失敗錯誤

  • 檢查此錯誤是否因為 CAA 記錄有問題。如果 DNS 樹狀結構中的任何位置沒有 CAA 記錄,您會收到訊息fail open,並核 AWS Certificate Manager 發憑證以驗證自訂網域。這允許應用程序運行器接受自定義域。如果您在 DNS 記錄中使用 CAA 認證,請確定至少包含一個網域的 CAA 記錄amazon.com。否則,ACM 將無法發行憑證。因此,無法建立應用程式執行程式的自訂網域。

    下列範例會使用 DNS 查閱工具 DiG 來顯示缺少必要項目的 CAA 記錄。此範例使用example.com做為自訂網域。在範例中執行下列命令以檢查 CAA 記錄。

    
...
;; QUESTION SECTION:
;example.com.           IN  CAA

;; ANSWER SECTION:
example.com.        7200    IN  CAA 0 iodef "mailto:hostmaster@example.com"
example.com.        7200    IN  CAA 0 issue "letsencrypt.org"
...note absence of "amazon.com" in any of the above CAA records...

  • 更正網域記錄,並確定至少包含一個 CAA 記錄amazon.com

  • 重試將自訂網域與應用程式執行器連結。

如需如何解決 CAA 錯誤的指示,請參閱下列內容:

取得自訂網域的 DNS 憑證驗證擱置錯誤

  • 檢查您是否跳過了自定義域設置中的重要步驟。此外,請檢查您是否使用 DNS 查閱工具 (例如 DiG) 錯誤地設定了 DNS 記錄。特別是,檢查以下錯誤:

    • 任何錯過的步驟。

    • 不支援的字元,例如 DNS 記錄中的雙引號。

  • 糾正錯誤。

  • 重試將自訂網域與應用程式執行器連結。

如需如何解決 CAA 驗證錯誤的指示,請參閱下列內容。

基本的疑難排解

  • 確認可以找到服務。

    
          aws apprunner list-services

  • 描述服務並檢查其狀態。

    
          aws apprunner describe-service --service-arn

  • 檢查自訂網域的狀態。

    
          aws apprunner describe-custom-domains --service-arn

  • 列出所有進行中的作業。

    
          aws apprunner list-operations --service-arn

自訂網域憑證續約

當您將自訂網域新增至服務時,App Runner 會提供您新增至 DNS 伺服器的一組 CNAME 記錄。這些 CNAME 記錄包括憑證記錄。應用程序運行器使用 AWS Certificate Manager (ACM)來驗證域。應用程式執行器會驗證這些 DNS 記錄,以確保此網域的持續擁有權。如果您從 DNS 區域移除 CNAME 記錄,App Runner 將無法再驗證 DNS 記錄,且自訂網域憑證無法自動續約。

本節說明如何解決下列自訂網域憑證續約問題:

CNAME 會從 DNS 伺服器中移除

  • 使用 DescribeCustomDomainsAPI 或應用程式執行器主控台中的「自訂網域」設定擷取您的 CNAME 記錄。如需有關已儲存 CNAME 的資訊,請參閱CertificateValidationRecords

  • 將憑證驗證 CNAME 記錄新增至您的 DNS 伺服器。然後,應用程序運行器可以驗證您是否擁有該域。新增 CNAME 記錄之後,DNS 記錄最多可能需要 30 分鐘才能傳播。應用程式執行器和 ACM 也可能需要數小時才能重試憑證更新程序。如需如何新增 CNAME 記錄的指示,請參閱管理自訂網域

憑證已過期

  • 取消關聯(取消鏈接),然後使用應用程序運行器控制台或 API 關聯(鏈接)應用程序運行器服務的自定義域。應用程式執行器會建立新的憑證驗證 CNAME 記錄。

  • 將新的憑證驗證 CNAME 記錄新增至您的 DNS 伺服器。

    如需如何取消關聯 (取消連結) 與關聯 (連結) 自訂網域的指示,請參閱。管理自訂網域

如何驗證證書是否已成功更新

您可以檢查憑證記錄的狀態,以確認您的憑證是否已順利續約。您可以使用 curl 等工具來檢查憑證的狀態。

如需有關憑證續約的詳細資訊,請參閱下列連結: