Validación por DNS - AWS Certificate Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Validación por DNS

El sistema de nombres de dominio (DNS) es un servicio de directorio para los recursos conectados a una red. Su proveedor de DNS mantiene una base de datos que contiene registros que definen el dominio. Cuando elige la validación por DNS, ACM proporciona uno o varios registros CNAME que deben agregarse a esta base de datos. Estos registros contienen un par de valor de clave único que sirve como prueba de que usted controla el dominio.

nota

Después de crear un certificado con validación por correo electrónico, no puede cambiar a la validación mediante DNS.

Por ejemplo, si solicita un certificado para el dominio example.com con www.example.com como nombre adicional, ACM crea dos registros CNAME. Cada registro, creado específicamente para el dominio y la cuenta, contiene un nombre y un valor. El valor es un alias que apunta a un AWS dominio que ACM utiliza para renovar automáticamente el certificado. Los registros CNAME se deben agregar a la base de datos de DNS una sola vez. ACM renueva automáticamente el certificado, siempre y cuando esté en uso y el registro CNAME siga existiendo.

importante

Si no utiliza Amazon Route 53 para administrar los registros de DNS públicos, contacte a su proveedor de DNS para saber cómo agregar registros. Si no tiene autoridad para editar la base de datos de DNS del dominio, debe utilizar la validación por correo electrónico.

Sin necesidad de repetir la validación, puede solicitar certificados de ACM adicionales para el nombre de dominio completo (FQDN) mientras el registro CNAME siga existiendo. Es decir, puede crear certificados de reemplazo que tengan el mismo nombre de dominio o certificados que cubran diferentes subdominios. Como el token de validación CNAME funciona en cualquier AWS región, puedes volver a crear el mismo certificado en varias regiones. También puede reemplazar un certificado eliminado.

Para detener la renovación automática, puede eliminar el certificado del servicio de AWS con el que está asociado o eliminar el registro CNAME. Si Route 53 no es su proveedor de DNS, contacte a su proveedor para saber cómo eliminar un registro. Si Route 53 es su proveedor, consulte Eliminación de conjuntos de registro de recursos en la Guía del desarrollador de Route 53. Para obtener más información sobre la renovación de certificados administrados, consulte Renovación administrada para certificados de ACM.

nota

La resolución CNAME fallará si hay más de cinco CNAME encadenados en la configuración de DNS. Si necesita un encadenamiento más largo, recomendamos utilizar la validación por correo electrónico.

Cómo funcionan los registros CNAME de ACM

nota

Esta sección es para los clientes que no utilizan Route 53 como su proveedor de DNS.

Si no utiliza Route 53 como proveedor de DNS, debe introducir de forma manual los registros CNAME proporcionados por ACM en la base de datos del proveedor, normalmente a través de un sitio web. Los registros CNAME se utilizan para una serie de propósitos, incluidos los mecanismos de redirección y contenedores para metadatos específicos del proveedor. En el caso de ACM, estos registros permiten la validación inicial de la propiedad del dominio y la renovación automática de certificados en curso.

En la siguiente tabla, se muestran ejemplos de registros CNAME para seis nombres de dominio. Cada par de Nombre-Valor del registro sirve para autenticar la propiedad del nombre de dominio.

En la tabla, tenga en cuenta que los dos primeros pares de Nombre-Valor del registro son iguales. Esto ilustra que, para un dominio comodín, como *.example.com, las cadenas creadas por ACM son las mismas que las creadas para su dominio base, example.com. De lo contrario, el par de Nombre y Valor difiere para cada nombre de dominio.

Registros CNAME de ejemplo
Nombre del dominio Nombre del registro Valor del registro Comentario
*.example.com _x1.example.com. _x2.acm-validations.aws. Idéntico
example.com _x1.example.com. _x2.acm-validations.aws.
www.example.com _x3.www.example.com. _x4.acm-validations.aws. Único
host.example.com _x5.host.example.com. _x6.acm-validations.aws. Único
subdomain.example.com _x7.subdomain.example.com. _x8.acm-validations.aws. Único
host.subdomain.example.com _x9.host.subdomain.example.com. _x10.acm-validations.aws. Único

Los valores xN después del carácter guion bajo (_) son cadenas largas generadas por ACM. Por ejemplo,

_3639ac514e785e898d2646601fa951d5.example.com.

es representativo de un Nombre de registro generado. El Valor de registro asociado podría ser

_98d2646601fa951d53639ac514e785e8.acm-validation.aws.

para el mismo registro.

nota

Si su proveedor de DNS no admite valores de CNAME con caracteres de guion bajo iniciales, consulte Solución de problemas de validación con DNS.

Cuando solicita un certificado y especifica la validación por DNS, ACM proporciona información CNAME en el siguiente formato:

Nombre del dominio Nombre del registro Tipo del registro Valor del registro
example.com _a79865eb4cd1a6ab990a45779b4e0b96.example.com. CNAME

_424c7224e9b0146f9a8808af955727d0.acm-validations.aws.

El Nombre del dominio es el FQDN asociado al certificado. El Nombre del registro identifica el registro de forma única y sirve como la clave del par de valor de clave. El Valor del registro sirve como el valor del par de valor de clave.

Estos tres valores (Nombre de dominio, Nombre de registro y Valor de registro) deben ingresarse en los campos apropiados de la interfaz web del proveedor de DNS para agregar registros de DNS. Los proveedores no manejan del mismo modo el campo de nombre de registro (o simplemente “nombre”). En algunos casos, se espera que proporcione toda la cadena como se muestra arriba. Otros proveedores agregan automáticamente el nombre de dominio a cualquier cadena que ingrese, lo que significa (en este ejemplo) que solo debe ingresar

_a79865eb4cd1a6ab990a45779b4e0b96

en el campo de nombre. Si la entrada es incorrecta e ingresa un nombre de registro que contiene un nombre de dominio (como .example.com), es posible que el resultado sea el siguiente:

_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.

La validación fallará en este caso. Por eso, debe intentar determinar de antemano qué tipo de entrada espera su proveedor.

Configuración de la validación por DNS

En esta sección se describe cómo configurar un certificado público para usar la validación de DNS.

Para configurar la validación por DNS en la consola
nota

Este procedimiento supone que ya has creado al menos un certificado y que estás trabajando en la AWS región en la que lo creaste. Si intenta abrir la consola y aparece en su lugar la pantalla de primer uso, o consigue abrir la consola y no ve su certificado en la lista, confirme que ha especificado la región correcta.

  1. Abra la consola de ACM en https://console.aws.amazon.com/acm/.

  2. En la lista de certificados, elija la ID de certificado de un certificado con estado Pending validation (Pendiente de validación) que desea configurar. Se abre una página de detalles del certificado.

  3. En la sección Domains (Dominios), realice uno de los dos procedimientos siguientes:

    1. (Opcional) Validar con Route 53.

      Aparece el botón Create records in Route 53 (Crear registros en Route 53) si se cumplen las siguientes condiciones:

      • Utiliza Route 53 como el proveedor de DNS.

      • Tiene permiso para escribir en la zona alojada por Route 53.

      • Su FQDN aún no se ha validado.

      nota

      Si utiliza Route 53, pero no se encuentra el ícono Crear registro en Route 53 o está desactivado, consulte La consola de ACM no muestra el botón “Crear registro en Route 53”.

      Elija el icono Create records in Route 53 (Crear registros en Route 53) y, a continuación, elija Create records (Crear registros). La página Certificate status (Estado del certificado) debería abrirse con un informe de banner de estado Successfully created DNS records (Registros DNS creados correctamente).

      El nuevo certificado podría continuar mostrando un estado de Pending validation (Validación pendiente) durante un máximo de 30 minutos.

      sugerencia

      No puede solicitar mediante programación que ACM cree automáticamente su registro en Route 53. Sin embargo, puede realizar una llamada a la API de Route 53 AWS CLI o a la API para crear el registro en la base de datos DNS de Route 53. Para obtener más información sobre los conjuntos de registros de Route 53, consulte Trabajar con conjuntos de registros de recursos.

    2. (Opcional) Si no utiliza Route 53 como proveedor de DNS, debe recuperar la información CNAME y agregarla a la base de datos de DNS. En la página de detalles del nuevo certificado, puede hacer esto de una de estas dos formas:

      • Copie los componentes CNAME que se muestran en la sección Domains (Dominios). Esta información aún debe agregarse manualmente a la base de datos de DNS.

      • También puede elegir Export to CSV (Exportar a CSV. La información del archivo resultante se debe agregar manualmente a la base de datos de DNS.

      importante

      Para evitar problemas de validación, revise Cómo funcionan los registros CNAME de ACM antes de agregar información a la base de datos de su proveedor de DNS. Si surgen problemas, consulte Solución de problemas en la validación por DNS.

Si ACM no puede validar el nombre de dominio en un plazo de 72 horas desde el momento en que genera un valor de CNAME por usted, ACM cambia el estado del certificado a Validation timed out (Tiempo de espera de validación agotado). La razón más probable de este resultado es que no actualizó con éxito la configuración de DNS con el valor que ACM generó. Para solucionar este problema, debe solicitar un certificado nuevo después de revisar las instrucciones CNAME.