Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Benutzerdefinierte Domänennamen
In diesem Abschnitt wird beschrieben, wie Sie verschiedene Fehler beheben und beheben können, die beim Verknüpfen mit einer benutzerdefinierten Domain auftreten können.
Anmerkung
Um die Sicherheit Ihrer App Runner-Anwendungen zu erhöhen, ist die Domain*.awsapprunner.com in der Public Suffix List (PSL) registriert.__Host- Präfix zu verwenden, falls Sie jemals sensible Cookies im Standard-Domainnamen für Ihre App Runner-Anwendungen einrichten müssen. Diese Vorgehensweise hilft Ihnen dabei, Ihre Domain vor CSRF-Versuchen (Cross-Site Request Forgery Attempts, Anforderungsfälschung zwischen Websites) zu schützen. Weitere Informationen finden Sie auf der Set-Cookie
Der Create Fail-Fehler für die benutzerdefinierte Domain wird angezeigt
Überprüfen Sie, ob dieser Fehler auf ein Problem mit den CAA-Einträgen zurückzuführen ist. Wenn es in der DNS-Struktur keine CAA-Einträge gibt, erhalten Sie eine Nachricht und stellen ein Zertifikat aus
fail open, AWS Certificate Manager um die benutzerdefinierte Domain zu verifizieren. Dadurch kann App Runner die benutzerdefinierte Domain akzeptieren. Wenn Sie CAA-Zertifizierungen in den DNS-Einträgen verwenden, stellen Sie sicher, dass die CAA-Einträge mindestens einer Domain Folgendes enthalten:amazon.comAndernfalls kann ACM kein Zertifikat ausstellen. Infolgedessen kann die benutzerdefinierte Domäne für App Runner nicht erstellt werden.Im folgenden Beispiel wird das DNS-Suchtool DiG verwendet, um CAA-Einträge anzuzeigen, bei denen ein erforderlicher Eintrag fehlt. Im Beispiel wird
example.comals benutzerdefinierte Domäne verwendet. Führen Sie im Beispiel die folgenden Befehle aus, um die CAA-Einträge zu überprüfen.... ;; QUESTION SECTION: ;example.com. IN CAA ;; ANSWER SECTION: example.com. 7200 IN CAA 0 iodef "mailto:hostmaster@example.com" example.com. 7200 IN CAA 0 issue "letsencrypt.org" ...note absence of "amazon.com" in any of the above CAA records...-
Korrigieren Sie die Domäneneinträge und stellen Sie sicher, dass mindestens ein CAA-Eintrag Folgendes enthält.
amazon.com -
Versuchen Sie erneut, die benutzerdefinierte Domain mit App Runner zu verknüpfen.
Anweisungen zur Behebung von CAA-Fehlern finden Sie im Folgenden:
Fehler beim Ausstehen der DNS-Zertifikatsvalidierung für eine benutzerdefinierte Domain
-
Prüfen Sie, ob Sie einen wichtigen Schritt bei der Einrichtung der benutzerdefinierten Domain übersprungen haben. Prüfen Sie außerdem, ob Sie mit einem DNS-Suchtool wie DiG einen DNS-Eintrag falsch konfiguriert haben. Achten Sie insbesondere auf die folgenden Fehler:
-
Alle verpassten Schritte.
-
Nicht unterstützte Zeichen wie doppelte Anführungszeichen in den DNS-Einträgen.
-
-
Korrigieren Sie die Fehler.
-
Versuchen Sie erneut, die benutzerdefinierte Domain mit App Runner zu verknüpfen.
Anweisungen zur Behebung von CAA-Validierungsfehlern finden Sie im Folgenden.
Grundlegende Befehle zur Fehlerbehebung
-
Vergewissern Sie sich, dass ein Dienst gefunden werden kann.
aws apprunner list-services -
Beschreiben Sie einen Dienst und überprüfen Sie seinen Status.
aws apprunner describe-service --service-arn -
Überprüfen Sie den Status der benutzerdefinierten Domain.
aws apprunner describe-custom-domains --service-arn -
Listet alle laufenden Operationen auf.
aws apprunner list-operations --service-arn
Verlängerung des benutzerdefinierten Domainzertifikats
Wenn Sie Ihrem Dienst eine benutzerdefinierte Domain hinzufügen, stellt Ihnen App Runner eine Reihe von CNAME-Einträgen zur Verfügung, die Sie Ihrem DNS-Server hinzufügen. Diese CNAME-Einträge enthalten Zertifikatsdatensätze. App Runner verwendet AWS Certificate Manager (ACM), um die Domain zu verifizieren. App Runner validiert diese DNS-Einträge, um sicherzustellen, dass Sie weiterhin Eigentümer dieser Domain sind. Wenn Sie die CNAME-Einträge aus Ihrer DNS-Zone entfernen, kann App Runner die DNS-Einträge nicht mehr validieren und das benutzerdefinierte Domain-Zertifikat kann nicht automatisch verlängert werden.
In diesem Abschnitt wird beschrieben, wie Sie die folgenden Probleme bei der Verlängerung von benutzerdefinierten Domainzertifikaten lösen können:
Der CNAME wird vom DNS-Server entfernt
Rufen Sie Ihre CNAME-Einträge über die DescribeCustomDomainsAPI oder über die benutzerdefinierten Domain-Einstellungen in der App Runner-Konsole ab. Informationen zu gespeicherten CNAMEs finden Sie unter. CertificateValidationRecords
Fügen Sie Ihrem DNS-Server die CNAME-Einträge zur Zertifikatsvalidierung hinzu. App Runner kann dann überprüfen, ob Sie Eigentümer der Domain sind. Nachdem Sie die CNAME-Einträge hinzugefügt haben, kann es bis zu 30 Minuten dauern, bis die DNS-Einträge weitergegeben werden. Es kann auch mehrere Stunden dauern, bis App Runner und ACM den Prozess der Zertifikatserneuerung erneut versuchen. Anweisungen zum Hinzufügen von CNAME-Einträgen finden Sie unter. Verwalte benutzerdefinierte Domains
Das Zertifikat ist abgelaufen
Trennen Sie die Zuordnung (Verknüpfung aufheben) und ordnen Sie dann die benutzerdefinierte Domain für Ihren App Runner-Dienst mithilfe der App Runner-Konsole oder API zu (verknüpfen). App Runner erstellt neue CNAME-Einträge zur Zertifikatsvalidierung.
Fügen Sie Ihrem DNS-Server die neuen CNAME-Einträge zur Zertifikatsvalidierung hinzu.
Anweisungen zum Trennen (Aufheben der Verknüpfung) und zum Zuordnen (Verknüpfen) der benutzerdefinierten Domäne finden Sie unter. Verwalte benutzerdefinierte Domains
Wie überprüfe ich, ob das Zertifikat erfolgreich erneuert wurde
Sie können den Status Ihrer Zertifikatsdatensätze überprüfen, um sicherzustellen, dass Ihr Zertifikat erfolgreich erneuert wurde. Sie können den Status der Zertifikate mithilfe von Tools wie curl überprüfen.
Weitere Informationen zur Verlängerung von Zertifikaten finden Sie unter den folgenden Links:
