AWS Certificate Manager DNS-Validierung - AWS Certificate Manager
Funktionsweise von CNAME-Datensätzen für ACMEinrichten der DNS-Validierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Certificate Manager DNS-Validierung

Das Domain Name System (DNS) ist ein Verzeichnisdienst für Ressourcen, die mit einem Netzwerk verbunden sind. Ihr DNS-Provider verwaltet eine Datenbank mit Datensätzen, die Ihre Domain definieren. Wenn Sie die DNS-Validierung wählen, stellt Ihnen ACM einen oder mehrere CNAME-Datensätze bereit, den oder die Sie dieser Datenbank hinzufügen müssen. Diese Datensätze enthalten ein eindeutiges Schlüssel-Wert-Paar, das als Nachweis dient, dass Sie die Domain steuern.

Anmerkung

Nachdem Sie ein Zertifikat mit E-Mail-Validierung erstellt haben, können Sie nicht zur Validierung mit DNS wechseln. Um die DNS-Validierung zu verwenden, löschen Sie das Zertifikat und erstellen Sie dann ein neues Zertifikat, das die DNS-Validierung verwendet.

Wenn Sie beispielsweise ein Zertifikat für die example.com Domain mit www.example.com als zusätzlichem Namen anfordern, erstellt ACM zwei CNAME-Einträge für Sie. Jeder speziell für Ihre Domain und Ihr Konto erstellte Datensatz enthält einen Namen und einen Wert. Der Wert ist ein Alias, der auf eine AWS Domain verweist, die ACM zur automatischen Verlängerung Ihres Zertifikats verwendet. Sie fügen Ihrer DNS-Datenbank die CNAME-Datensätze nur einmal hinzu. ACM verlängert Ihr Zertifikat automatisch, solange das Zertifikat verwendet wird und Ihr CNAME-Datensatz vorhanden ist.

Wichtig

Wenn Sie Amazon Route 53 nicht zur Verwaltung Ihrer öffentlichen DNS-Einträge verwenden, wenden Sie sich an Ihren DNS-Anbieter, um zu erfahren, wie Sie Einträge hinzufügen können. Wenn Sie keine Berechtigung zum Bearbeiten der DNS-Datenbank Ihrer Domain haben, müssen SieE-Mail-Validierung.

Ohne die erneute Validierung können Sie zusätzliche ACM-Zertifikate für Ihren vollqualifizierten Domainnamen (FQDN) anfordern, solange der CNAME-Eintrag vorhanden ist. Das heißt, Sie können Ersatzzertifikate mit demselben Domainnamen oder Zertifikate erstellen, die verschiedene Subdomains abdecken. Da das CNAME-Validierungstoken für jede AWS Region funktioniert, können Sie dasselbe Zertifikat in mehreren Regionen neu erstellen. Sie können auch ein gelöschtes Zertifikat ersetzen.

Sie können die automatische Verlängerung beenden, indem Sie das Zertifikat aus dem AWS -Service entfernen, dem es zugeordnet ist, oder indem Sie den CNAME-Datensatz löschen. Wenn Route 53 nicht Ihr DNS-Anbieter ist, wenden Sie sich an Ihren Anbieter, um herauszufinden, wie Sie einen Eintrag löschen können. Wenn Route 53 Ihr Anbieter ist, finden Sie weitere Informationen unterLöschen von Ressourcendatensätzen im Route 53 Entwicklerhandbuch aus. Weitere Informationen über die verwaltete Zertifikatverlängerung finden Sie unter Verwaltete Zertifikatserneuerung in AWS Certificate Manager.

Anmerkung

Die CNAME-Auflösung schlägt fehl, wenn in Ihrer DNS-Konfiguration mehr als fünf miteinander verkettet CNAMEs sind. Wenn Sie eine längere Verkettung benötigen, empfehlen wirE-Mail-Validierungaus.

Funktionsweise von CNAME-Datensätzen für ACM

Anmerkung

Dieser Abschnitt ist für Kunden vorgesehen, die Route 53 nicht als DNS-Anbieter verwenden.

Wenn Sie Route 53 nicht als DNS-Provider verwenden, müssen Sie CNAME-Einträge, die von ACM bereitgestellt werden, manuell in die Datenbank Ihres Anbieters eingeben, normalerweise über eine Website. CNAME-Datensätze werden für eine Reihe von Zwecken verwendet, einschließlich als Umleitungsmechanismen und als Container für herstellerspezifische Metadaten. Für ACM ermöglichen diese Datensätze eine anfängliche Validierung des Domainbesitzes und eine laufende automatische Zertifikaterneuerung.

Die folgende Tabelle zeigt ein Beispiel mit CNAME-Datensätzen für sechs Domainnamen. Jeder DatensatzDatensatzname-Datensatzwert-Paar dient dazu, den Besitz von Domainnamen zu authentifizieren.

Beachten Sie in der Tabelle, dass die ersten beidenDatensatzname-DatensatzwertPaare sind gleich. Dies veranschaulicht, dass für eine Platzhalterdomain wie *.example.com die Zeichenfolgen, die von ACM erstellt wurden, identisch sind mit denen, die für ihre Basisdomain example.com erstellt wurden. Andernfalls wird das gekoppelteDatensatznameundDatensatzwertunterscheiden sich für jeden Domainnamen.

Beispiel für CNAME-Datensätze
Domainname Datensatzname Datensatzwert Kommentar
*.example.com _ .example.comx1. _ .acm-validierungen.awsx2. Identisch
example.com _ x1 .example.com. _ .acm-validierungen.awsx2.
www.example.com _ x3 .www.example.com. _ .acm-validierungen.aws. x4 Eindeutig
host.example.com _ x5 .host.example.com. _ x6 .acm-validierungen.aws. Eindeutig
subdomain.example.com _ x7 .subdomain.example.com. _ x8 .acm-validierungen.aws. Eindeutig
host.subdomain.example.com _ x9 .host.subdomain.example.com. _ x10 .acm-validierungen.aws. Eindeutig

Die xN Werte, die auf den Unterstrich (_) folgen, sind lange Zeichenketten, die von ACM generiert wurden. Zum Beispiel 

_3639ac514e785e898d2646601fa951d5.example.com.

ist repräsentativ für eine resultierendeDatensatznameaus. Der zugeordneteDatensatzwertkönnte

_98d2646601fa951d53639ac514e785e8.acm-validation.aws.

für denselben DNS-Datensatz.

Anmerkung

Wenn Ihr DNS-Anbieter bietet keine CNAME-Werte mit einleitendem Unterstrich unterstützt, finden Sie weitere Informationen unter Beheben von DNS-Validierungsproblemen.

Wenn Sie ein Zertifikat anfordern und die DNS-Validierung angeben, stellt ACM CNAME-Informationen im folgenden Format bereit:

Domainname Datensatzname Datensatztyp Datensatzwert
example.com _a79865eb4cd1a6ab990a45779b4e0b96.beispiel.com. CNAME

_424c7224e9b0146f9a8808af955727d0.acm-validations.aws.

Domainname ist der dem Zertifikat zugeordnete FQDN. Datensatzname identifiziert den Datensatz eindeutig und dient als Schlüssel des Schlüssel-Wert-Paares. Datensatzwert dient als Wert des -Schlüssel-Wert-Paares.

Alle drei Werte (Domainname, Datensatzname und Datensatzwert) müssen in die entsprechenden Felder der Webbenutzeroberfläche Ihres DNS-Anbieters zum Hinzufügen von DNS-Datensätzen eingegeben werden. Anbieter sind inkonsistent in der Verarbeitung des Datensatznamens (oder nur „Name“) Feld. In einigen Fällen wird erwartet, dass Sie die gesamte Zeichenfolge bereitstellen, wie oben gezeigt. Andere Anbieter hängen den Domainnamen automatisch an die von Ihnen eingegebene Zeichenfolge an. Dies bedeutet (in diesem Beispiel), dass Sie nur

_a79865eb4cd1a6ab990a45779b4e0b96

in das Namensfeld ein. Wenn Sie dies falsch erraten und einen Datensatznamen eingeben, der einen Domainnamen enthält (z. B. .example.com), können Sie Folgendes erhalten:

_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.

Die Validierung schlägt in diesem Fall fehl. Daher sollten Sie versuchen, im Voraus zu bestimmen, welche Art von Eingabe Ihr Provider erwartet.

Einrichten der DNS-Validierung

In diesem Abschnitt wird beschrieben, wie Sie ein öffentliches Zertifikat für die Verwendung der DNS-Validierung konfigurieren.

Einrichten der DNS-Validierung in der Konsole
Anmerkung

Bei diesem Verfahren wird davon ausgegangen, dass Sie bereits mindestens ein Zertifikat erstellt haben und dass Sie in der AWS Region arbeiten, in der Sie es erstellt haben. Wenn Sie versuchen, die Konsole zu öffnen und stattdessen der Bildschirm „Erste Verwendung“ angezeigt wird, oder wenn Sie die Konsole erfolgreich öffnen und Ihr Zertifikat nicht in der Liste angezeigt wird, vergewissern Sie sich, dass Sie die richtige Region angegeben haben.

  1. Öffnen Sie die ACM-Konsole unter. https://console.aws.amazon.com/acm/

  2. Wählen Sie in der Liste der Zertifikate die Zertifikat-ID eines Zertifikats mit dem Status Pending validation (Validierung ausstehend) aus, das Sie konfigurieren möchten. Daraufhin wird eine Detailseite für das Zertifikat geöffnet.

  3. Führen Sie im Abschnitt Domains eines der beiden folgenden Verfahren durch:

    1. (Optional) Validieren Sie mit Route 53.

      Die aktive Schaltfläche Create record in Route 53 (Einträge in Route 53 erstellen) wird angezeigt, wenn die folgenden Bedingungen zutreffen:

      • Sie verwenden Route 53 als Ihren DNS-Anbieter.

      • Sie haben die Berechtigung, in die von Route 53 gehostete Zone zu schreiben.

      • Ihr FQDN wurde noch nicht validiert.

      Anmerkung

      Wenn die Schaltfläche Datensätze in Route 53 erstellen in Route 53 deaktiviert ist oder fehlt, lesen Sie Die ACM-Konsole zeigt die Schaltfläche „Datensätze in Route 53 erstellen“ nicht an.

      Wählen Sie die Schaltfläche Create records in Route 53 (Einträge in Route 53 erstellen) und dann Create records (Einträge erstellen) aus. Die Seite Certificate status (Zertifikatstatus) sollte mit einem Statusbanner geöffnet werden, das die Meldung Successfully created DNS records (DNS-Einträge erfolgreich erstellt) enthält.

      Ihr neues Zertifikat kann noch bis zu 30 Minuten lang den Status Pending validation (Validierung ausstehend) anzeigen.

      Tipp

      Sie können nicht programmatisch anfordern, dass ACM Ihren Datensatz automatisch in Route 53 erstellt. Sie können jedoch Route 53 AWS CLI per API-Aufruf aufrufen, um den Eintrag in der Route 53-DNS-Datenbank zu erstellen. Weitere Informationen über Route 53-Datensätze finden Sie unter Arbeiten mit Ressourcendatensätzen.

    2. (Optional) Wenn Sie nicht Route 53 als DNS-Provider verwenden, müssen Sie die CNAME-Informationen abrufen und Ihrer DNS-Datenbank hinzufügen. Auf der Detailseite für das neue Zertifikat stehen Ihnen zwei Optionen zur Verfügung:

      • Kopieren Sie die im Abschnitt Domains angezeigten CNAME-Komponenten. Die Informationen in der Datei müssen nach wie vor manuell zu Ihrer DNS-Datenbank hinzugefügt werden.

      • Alternativ können Sie Export to CSV (Nach CSV exportieren) auswählen. Die Informationen in der resultierenden Datei müssen Ihrer DNS-Datenbank manuell hinzugefügt werden.

      Wichtig

      Um Validierungsprobleme zu vermeiden, lesen SieFunktionsweise von CNAME-Datensätzen für ACMBevor Sie Informationen zur Datenbank Ihres DNS-Anbieters hinzufügen. Bei Problemen finden Sie weitere Informationen unter Behebung von DNS-Validierungsproblemen.

Wenn ACM; den Domainnamen nicht innerhalb von 72 Stunden validieren kann, nachdem es einen CNAME-Wert für Sie erstellt hat, ändert ACM; den Zertifikatstatus in Validation timed out. Der wahrscheinlichste Grund für dieses Ergebnis ist, dass Sie Ihre DNS-Konfiguration nicht erfolgreich mit dem von ACM generierten Wert aktualisiert haben. Um dieses Problem zu beheben, müssen Sie ein neues Zertifikat anfordern, nachdem Sie die CNAME-Anweisungen überprüft haben.