Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Validation DNS
Le système de noms de domaine (DNS) est un service d'annuaire dédié aux ressources connectées à un réseau. Votre fournisseur DNS gère une base de données contenant les enregistrements qui définissent votre domaine. Lorsque vous choisissez la validation DNS, ACM vous fournit un ou plusieurs enregistrements CNAME qui doivent être ajoutés à cette base de données. Ces enregistrements contiennent une paire clé-valeur unique qui prouve que vous contrôlez le domaine.
Note
Une fois que vous avez créé un certificat avec une validation par e-mail, vous ne pouvez pas passer à sa validation avec DNS.
Par exemple, si vous demandez un certificat pour le domaine example.com avec www.example.com comme nom supplémentaire, ACM crée deux enregistrements CNAME pour vous. Chacun des enregistrements créés spécifiquement pour votre domaine et votre compte contient un nom et une valeur. La valeur est un alias qui pointe vers un AWS domaine qu'ACM utilise pour renouveler automatiquement votre certificat. Les enregistrements CNAME ne doivent être ajoutés qu'une seule fois à votre base de données DNS. ACM renouvelle automatiquement votre certificat tant qu'il est utilisé et que votre enregistrement CNAME reste en place.
Important
Si vous n'utilisez pas Amazon Route 53 pour gérer vos enregistrements DNS publics, contactez votre fournisseur DNS pour savoir comment ajouter des enregistrements. Si vous n'êtes pas autorisé à modifier la base de données DNS de votre domaine, utilisez plutôt la validation par e-mail.
Sans avoir à répéter la validation, vous pouvez demander des certificats ACM supplémentaires pour votre nom de domaine complet (FQDN) tant que l'enregistrement CNAME reste en place. En d'autres termes, vous pouvez créer des certificats de remplacement portant le même nom de domaine, ou des certificats couvrant différents sous-domaines. Comme le jeton de validation CNAME fonctionne pour toutes les AWS régions, vous pouvez recréer le même certificat dans plusieurs régions. Vous pouvez également remplacer un certificat supprimé.
Vous pouvez arrêter le renouvellement automatique en supprimant le certificat du service AWS auquel il est associé ou en supprimant l'enregistrement CNAME. Si Route 53 n'est pas votre fournisseur DNS, contactez votre fournisseur pour savoir comment supprimer un enregistrement. Si Route 53 est votre fournisseur, consultez Suppression de jeux d'enregistrements de ressources dans le Guide du développeur Route 53. Pour plus d'informations sur le renouvellement de certificats gérés, consultez Renouvellement géré des certificats ACM.
Note
La résolution CNAME échoue si plus de cinq CNAME sont enchaînés dans votre configuration DNS. Si vous avez besoin d'un enchaînement plus long, nous vous recommandons d'utiliser la validation par e-mail.
Fonctionnement des enregistrements CNAME pour ACM
Note
Cette section s'adresse aux clients qui n'utilisent pas Route 53 comme fournisseur DNS.
Si vous n'utilisez pas Route 53 comme fournisseur DNS, vous devez entrer manuellement les enregistrements CNAME fournis par ACM dans la base de données de votre fournisseur, généralement via un site web. Les enregistrements CNAME sont utilisés à différentes fins, notamment comme mécanismes de redirection et comme conteneurs pour les métadonnées spécifiques au fournisseur. Pour ACM, ces enregistrements permettent la validation initiale de la propriété du domaine et le renouvellement automatisé continu des certificats.
Le tableau suivant présente des exemples d'enregistrements CNAME pour six noms de domaine. La paire Nom de l'enregistrement-Valeur de l'enregistrement de chaque enregistrement sert à authentifier la propriété du nom de domaine.
Dans le tableau, notez que les deux premières paires Nom de l'enregistrement-Valeur de l'enregistrement sont identiques. Ceci illustre le fait que pour un domaine générique, tel que *.example.com, les chaînes créées par ACM sont les mêmes que celles créées pour son domaine de base, example.com. Sinon, la paire Nom de l'enregistrement-Valeur de l'enregistrementdiffère pour chaque nom de domaine.
Exemples d'enregistrements CNAME | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nom de domaine | Nom de l'enregistrement | Valeur de l'enregistrement | Comment | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| *.example.com | _x1.example.com. |
_x2.acm-validations.aws. |
Identical (éléments identiques) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| example.com | _x1.example.com. |
_x2.acm-validations.aws. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| www.example.com | _x3.www.example.com. |
_x4.acm-validations.aws. |
Unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| host.example.com | _x5.host.example.com. |
_x6.acm-validations.aws. |
Unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| subdomain.example.com | _x7.subdomain.example.com. |
_x8.acm-validations.aws. |
Unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| host.subdomain.example.com | _x9.host.subdomain.example.com. |
_x10.acm-validations.aws. |
Unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Les valeurs xN qui suivent le trait de soulignement ( _ ) sont de longues chaînes générées par ACM. Par exemple,
_3639ac514e785e898d2646601fa951d5.example.com.
est représentatif d'un résultat généré pour le Nom de l'enregistrement. La Valeur de l'enregistrement associée pourrait être
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
pour le même enregistrement DNS.
Note
Si votre fournisseur DNS ne prend pas en charge les valeurs CNAME comportant un trait de soulignement de début, consultez Résolution des problèmes liés à la validation DNS.
Lorsque vous effectuez une demande de certificat avec validation DNS, ACM fournit des informations CNAME au format suivant :
| Nom de domaine | Nom de l'enregistrement | Type d'enregistrement | Valeur de l'enregistrement |
|---|---|---|---|
| example.com | _a79865eb4cd1a6ab990a45779b4e0b96.example.com. | CNAME |
_424c7224e9b0146f9a8808af955727d0.acm-validations.aws. |
Le Nom de domaine est le nom de domaine complet associé au certificat. Le Nom de l'enregistrement identifie l'enregistrement de manière unique, en servant de clé dans la paire clé-valeur. La Valeur d'enregistrement sert de valeur dans la paire clé-valeur.
Ces trois valeurs (Domain Name (Nom de domaine), Record Name (Nom d'enregistrement), and Record Value (Valeur d'enregistrement)) doivent être entrées dans les champs appropriés de l'interface web de votre fournisseur DNS pour ajouter des enregistrements DNS. Les fournisseurs ne traitent pas nom de l'enregistrement (ou « nom ») de la même manière. Dans certains cas, vous devez fournir la chaîne entière comme illustré ci-dessus. D'autres fournisseurs ajoutent automatiquement le nom de domaine à la chaîne que vous entrez, ce qui signifie (dans cet exemple) que vous ne devez entrer que
_a79865eb4cd1a6ab990a45779b4e0b96
dans le champ de nom. Si vous vous trompez et que vous saisissez un nom d'enregistrement qui contient un nom de domaine (tel que .example.com), vous risquez de vous retrouver avec ce qui suit :
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
Dans ce cas, la validation échouera. Par conséquent, vous devez essayer de déterminer à l'avance quel type de données votre fournisseur attend.
Configuration de la validation DNS
Cette section décrit comment configurer un certificat public pour utiliser la validation DNS.
Pour configurer la validation DNS sur la console
Note
Cette procédure suppose que vous avez déjà créé au moins un certificat et que vous travaillez dans la AWS région où vous l'avez créé. Si vous essayez d'ouvrir la console et que l'écran de première utilisation s'affiche à la place, ou si vous réussissez à ouvrir la console et que votre certificat ne figure pas dans la liste, vérifiez que vous avez spécifié la bonne région.
-
Ouvrez la console ACM à partir de l'adresse https://console.aws.amazon.com/acm/
. -
Dans la liste des certificats, choisissez l’ID de certificat d'un certificat avec statut Validation en attente que vous souhaitez configurer. Cette opération ouvre une page d’informations pour le certificat.
-
Dans la section Domaines, effectuez l'une des deux procédures suivantes :
-
(Facultatif) Validez à l'aide de Route 53.
Un bouton Créer des enregistrements dans Route 53 actif apparaît si les conditions suivantes sont réunies :
-
Vous utilisez Route 53 comme fournisseur DNS.
-
Vous disposez de l'autorisation nécessaire pour écrire dans la zone hébergée par Route 53.
-
Votre nom de domaine complet (FQDN) n'a pas encore été validé.
Note
Si vous utilisez Route 53 mais que le bouton Créer des enregistrements dans Route 53 est absent ou désactivé, consultez La console ACM n'affiche pas le bouton « Créer des enregistrements dans Route 53 ».
Choisissez le bouton Créer des enregistrements dans Route 53, puis Create (Créer). La page Status du certificat doit s'ouvrir avec un rapport de bannière d'état Enregistrements DNS créés avec succès.
Votre nouveau certificat doit rester affiché avec le statut Validation en attente pendant au moins 30 minutes.
Astuce
Actuellement, vous ne pouvez pas demander par programmation la création automatique par ACM de votre enregistrement dans Route 53. Vous pouvez toutefois effectuer un appel AWS CLI d'API à Route 53 pour créer l'enregistrement dans la base de données DNS Route 53. Pour plus d'informations sur les jeux d'enregistrements Route 53, consultez Utilisation de jeux d'enregistrements de ressources.
-
-
(Facultatif) Si vous n'utilisez pas Route 53 comme fournisseur DNS, vous devez récupérer les informations CNAME et les ajouter à votre base de données DNS. Sur la page de détails du nouveau certificat, effectuez cette opération de deux manières :
-
Copiez les composants CNAME affichés dans la section Domaines. Ces informations doivent être ajoutées manuellement à votre base de données DNS.
-
Sinon, choisissez Export to CSV (Exporter vers CSV). Les informations contenues dans le fichier doivent être ajoutées manuellement à votre base de données DNS.
Important
Pour éviter les problèmes de validation, vérifiez Fonctionnement des enregistrements CNAME pour ACM avant d'ajouter des informations à la base de données de votre fournisseur DNS. Si vous rencontrez des problèmes, consultez Résolution des problèmes liés à la validation DNS.
-
-
Si ACM n'est pas en mesure de valider le nom de domaine dans les 72 heures qui suivent la génération d'une valeur CNAME, le statut du certificat est remplacé par Validation expirée. La raison la plus probable de ce résultat est que vous n'avez pas réussi à mettre à jour votre configuration DNS avec la valeur générée par ACM. Pour remédier à ce problème, vous devez demander un nouveau certificat après avoir examiné les instructions relatives au CNAME.
