Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Certificate Manager DNSvalidación
El Sistema de nombres de dominio (DNS) es un servicio de directorio para los recursos que están conectados a una red. Su DNS proveedor mantiene una base de datos que contiene los registros que definen su dominio. Cuando elige la DNS validación, le ACM proporciona uno o más CNAME registros que deben agregarse a esta base de datos. Estos registros contienen un par de valor de clave único que sirve como prueba de que usted controla el dominio.
nota
Después de crear un certificado con validación por correo electrónico, no podrá pasar a validarlo conDNS. Para utilizar la DNS validación, elimine el certificado y, a continuación, cree uno nuevo que utilice la DNS validación.
Por ejemplo, si solicita un certificado para el example.com
dominio con www.example.com
un nombre adicional, ACM crea dos CNAME registros para usted. Cada registro, creado específicamente para el dominio y la cuenta, contiene un nombre y un valor. El valor es un alias que apunta a un AWS dominio que se ACM utiliza para renovar automáticamente el certificado. Los CNAME registros se deben agregar a la DNS base de datos una sola vez. ACMrenueva automáticamente su certificado mientras el certificado esté en uso y su CNAME registro permanezca en su lugar.
importante
Si no utiliza Amazon Route 53 para gestionar sus DNS registros públicos, póngase en contacto con su DNS proveedor para obtener información sobre cómo añadir registros. Si no tiene autoridad para editar la DNS base de datos de su dominio, debe utilizar la validación por correo electrónico en su lugar.
Sin necesidad de repetir la validación, puedes solicitar ACM certificados adicionales para tu nombre de dominio completo (FQDN) mientras el CNAME registro permanezca en su lugar. Es decir, puede crear certificados de reemplazo que tengan el mismo nombre de dominio o certificados que cubran diferentes subdominios. Dado que el token de CNAME validación funciona para cualquier AWS Región, puede volver a crear el mismo certificado en varias regiones. También puede reemplazar un certificado eliminado.
También puede detener la renovación automática quitando el certificado del AWS servicio al que está asociado o eliminando el CNAME registro. Si Route 53 no es su DNS proveedor, póngase en contacto con él para averiguar cómo eliminar un registro. Si Route 53 es su proveedor, consulte Eliminación de conjuntos de registro de recursos en la Guía del desarrollador de Route 53. Para obtener más información sobre la renovación de certificados administrados, consulte Renovación de certificados gestionada en AWS Certificate Manager.
nota
CNAMEla resolución fallará si CNAMEs hay más de cinco encadenados en la DNS configuración. Si necesita un encadenamiento más largo, recomendamos utilizar la validación por correo electrónico.
Cómo CNAME graba para trabajar ACM
nota
Esta sección es para los clientes que no utilizan Route 53 como DNS proveedor.
Si no utiliza Route 53 como DNS proveedor, debe introducir manualmente los CNAME registros proporcionados por él ACM en la base de datos de su proveedor, normalmente a través de un sitio web. CNAMElos registros se utilizan para varios propósitos, incluso como mecanismos de redireccionamiento y como contenedores de metadatos específicos del proveedor. ACMEn efecto, estos registros permiten la validación inicial de la propiedad del dominio y la renovación automática y continua de los certificados.
En la siguiente tabla se muestran ejemplos de CNAME registros de seis nombres de dominio. Cada par de Nombre-Valor del registro sirve para autenticar la propiedad del nombre de dominio.
En la tabla, tenga en cuenta que los dos primeros pares de Nombre-Valor del registro son iguales. Esto ilustra que en un dominio comodín, por ejemplo*.example.com
, las cadenas creadas por ACM son las mismas que las creadas para su dominio base,. example.com
De lo contrario, el par de Nombre y Valor difiere para cada nombre de dominio.
Ejemplos de registros CNAME | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Nombre del dominio | Nombre del registro | Valor del registro | Comentario | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
*.example.com | _x1 .example.com. |
_x2 .acm-validations.aws. |
Idéntico | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
example.com | _x1 .example.com. |
_x2 .acm-validations.aws. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
www.example.com | _x3 .www.example.com. |
_x4 .acm-validations.aws. |
Único | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
host.example.com | _x5 .host.example.com. |
_x6 .acm-validations.aws. |
Único | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
subdomain.example.com | _x7 .subdominio.example.com. |
_x8 .acm-validations.aws. |
Único | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
host.subdomain.example.com | _x9 .host.subdominio.example.com. |
_x10 .acm-validations.aws. |
Único |
La xN
los valores que siguen al guión bajo (_) son cadenas largas generadas por. ACM Por ejemplo:
_
3639ac514e785e898d2646601fa951d5
.example.com.
es representativo de un Nombre de registro generado. El Valor de registro asociado podría ser
_
98d2646601fa951d53639ac514e785e8
.acm-validation.aws.
para el mismo DNS registro.
nota
Si su DNS proveedor no admite CNAME valores con un subrayado inicial, consulte Solución de problemas de DNS validación.
Cuando solicita un certificado y especifica la DNS validación, ACM proporciona CNAME información en el siguiente formato:
Nombre del dominio | Nombre del registro | Tipo del registro | Valor del registro |
---|---|---|---|
example.com | _a79865eb4cd1a6ab990a45779b4e0b96.example.com. | CNAME |
_424c7224e9b0146f9a8808af955727d0.acm-validations.aws. |
El nombre de dominio es el FQDN asociado al certificado. El Nombre del registro identifica el registro de forma única y sirve como la clave del par de valor de clave. El Valor del registro sirve como el valor del par de valor de clave.
Estos tres valores (nombre de dominio, nombre de registro y valor de registro) se deben introducir en los campos correspondientes de la interfaz web del DNS proveedor para añadir DNS registros. Los proveedores no manejan del mismo modo el campo de nombre de registro (o simplemente “nombre”). En algunos casos, se espera que proporcione toda la cadena como se muestra arriba. Otros proveedores agregan automáticamente el nombre de dominio a cualquier cadena que ingrese, lo que significa (en este ejemplo) que solo debe ingresar
_a79865eb4cd1a6ab990a45779b4e0b96
en el campo de nombre. Si la entrada es incorrecta e ingresa un nombre de registro que contiene un nombre de dominio (como .example.com
), es posible que el resultado sea el siguiente:
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
La validación fallará en este caso. Por eso, debe intentar determinar de antemano qué tipo de entrada espera su proveedor.
Configurar la validación DNS
En esta sección se describe cómo configurar un certificado público para usar la DNS validación.
Para configurar la DNS validación en la consola
nota
En este procedimiento se presupone que ya ha creado al menos un certificado y que está trabajando en AWS Región en la que lo creó. Si intenta abrir la consola y aparece en su lugar la pantalla de primer uso, o consigue abrir la consola y no ve su certificado en la lista, confirme que ha especificado la región correcta.
-
Abra la ACM consola en. https://console.aws.amazon.com/acm/
-
En la lista de certificados, elija la ID de certificado de un certificado con estado Pending validation (Pendiente de validación) que desea configurar. Se abre una página de detalles del certificado.
-
En la sección Domains (Dominios), realice uno de los dos procedimientos siguientes:
-
(Opcional) Validar con Route 53.
Aparece el botón Create records in Route 53 (Crear registros en Route 53) si se cumplen las siguientes condiciones:
-
Utiliza Route 53 como DNS proveedor.
-
Tiene permiso para escribir en la zona alojada por Route 53.
-
El suyo aún no FQDN ha sido validado.
nota
Si utiliza Route 53, pero no se encuentra el ícono Crear registro en Route 53 o está desactivado, consulte ACMLa consola no muestra el botón «Crear registros en Route 53».
Elija el icono Create records in Route 53 (Crear registros en Route 53) y, a continuación, elija Create records (Crear registros). La página de estado del certificado debería abrirse con un banner de estado que indique que los DNSregistros se han creado correctamente.
El nuevo certificado podría continuar mostrando un estado de Pending validation (Validación pendiente) durante un máximo de 30 minutos.
sugerencia
No puede solicitar mediante programación que ACM se cree automáticamente su registro en Route 53. Sin embargo, puede crear un AWS CLI o API llame a Route 53 para crear el registro en la DNS base de datos de Route 53. Para obtener más información sobre los conjuntos de registros de Route 53, consulte Trabajar con conjuntos de registros de recursos.
-
-
(Opcional) Si no utiliza Route 53 como DNS proveedor, debe recuperar la CNAME información y agregarla a la DNS base de datos. En la página de detalles del nuevo certificado, puede hacer esto de una de estas dos formas:
-
Copie los CNAME componentes que se muestran en la sección Dominios. Esta información debe añadirse manualmente a la DNS base de datos.
-
Como alternativa, elija Exportar a CSV. La información del archivo resultante debe añadirse manualmente a la DNS base de datos.
importante
Para evitar problemas de validación, Cómo CNAME graba para trabajar ACM revísela antes de añadir información a la base de datos de su DNS proveedor. Si surgen problemas, consulte Solucione problemas DNS de validación.
-
-
Si ACM no puede validar el nombre de dominio en un plazo de 72 horas desde el momento en que generó un CNAME valor para usted, ACM cambia el estado del certificado a Se ha agotado el tiempo de espera de la validación. Lo más probable es que este resultado se deba a que no actualizó correctamente la DNS configuración con el valor ACM generado. Para solucionar este problema, debe solicitar un nuevo certificado después de revisar las CNAME instrucciones.