Utilisation de DNS pour valider la propriété du domaine - AWS Certificate Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de DNS pour valider la propriété du domaine

Avant que l'autorité de certification (CA) d'Amazon ne puisse émettre un certificat pour votre site, AWS Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les noms de domaine que vous avez indiqués dans votre demande. Lorsque vous demandez un certificat, vous pouvez choisir une validation par e-mail ou une validation DNS. Cette rubrique traite de la validation DNS. Pour plus d'informations sur la validation par e-mail, consultez Utilisation d'un e-mail pour valider la propriété du domaine.

Si vous rencontrez des problèmes lors de l'utilisation de la validation DNS, veuillez consulter Résolution des problèmes liés à la validation DNS.

Note

La validation s'applique uniquement aux certificats publics émis par AWS Certificate Manager (ACM). ACM ne valide pas la propriété du domaine pour les certificats importés ou pour les certificats signés par une autorité de certification privée.

Note

Les certificats publics ACM ne peuvent pas être installés sur des instances Amazon EC2. Pour de plus amples informations sur la configuration d'un serveur Web autonome basé sur EC2, veuillez consulter Didacticiel : Installer un serveur Web LAMP sur Amazon Linux 2 ou Didacticiel : Installer un serveur Web LAMP avec l'AMI Amazon Linux.

Le système de noms de domaine (DNS) est un service d'annuaire pour des ressources connectés à un réseau. Sur Internet, les serveurs DNS sont utilisés principalement pour traduire des noms de domaine en adresses IP numériques qui identifient et localisent des ressources telles que des ordinateurs et d'autres appareils. Les bases de données sur les serveurs DNS contiennent des enregistrements de domaines utilisés pour cette traduction et pour activer d'autres fonctionnalités. Par exemple, les enregistrements A constituent un type d'enregistrement DNS utilisé pour mapper des noms de domaine à des adresses IPV4. Les enregistrements MX sont utilisés pour acheminer des e-mails. Les enregistrements NS répertorient tous les serveurs de noms du domaine.

ACM; utilise des enregistrements CNAME (nom canonique) pour valider que vous possédez ou contrôlez le domaine. Lorsque vous choisissez la validation DNS, ACM vous fournit un ou plusieurs enregistrement(s) CNAME à insérer dans votre base de données DNS. Par exemple, si vous demandez un certificat pour le domaine example.com avec www.example.com comme nom supplémentaire, ACM crée deux enregistrements CNAME pour vous. Chacun des enregistrements créés spécifiquement pour votre domaine et votre compte contient un nom et une valeur. La valeur est un alias qui pointe vers un domaine que possède ACM et que ACM utilise pour renouveler automatiquement votre certificat. Vous ajoutez les enregistrements CNAME à votre base de données DNS une seule fois. ACM renouvelle automatiquement votre certificat aussi longtemps que le certificat est en cours d'utilisation et que l'enregistrement CNAME demeure en place. De plus, si vous utilisez Amazon Route 53 pour créer votre domaine, ACM peut écrire les enregistrements CNAME pour vous.

Note

La résolution CNAME échoue si plusieurs CNAMEs des cinq sont chaînées dans votre configuration DNS. Si vous avez besoin d'un chaînage plus long, nous vous recommandons d'utiliser la validation par e-mail.

Si votre fournisseur DNS ne prend pas en charge les valeurs CNAME avec un trait de soulignement de début, consultez Résolution des problèmes liés à la validation DNS.

Le tableau suivant montre des exemples d'enregistrements CNAME pour cinq noms de domaine. L'icône _x Les valeurs sont de longues chaînes aléatoires générées par ACM . Par exemple _3639ac514e785e898d2646601fa951d5.example.com représente un nom généré. Notez que les deux premiers _x Les valeurs de la table sont les mêmes. Autrement dit, la chaîne aléatoire créée par ACM pour le nom du caractère générique *.example.com est la même que celle créée pour le nom de domaine de baseexample.com. Notez également qu'ACM crée différents enregistrements CNAME pour example.com et www.example.com .

Utilisez les barres de défilement pour voir le reste du tableau.

Nom de domaine Zone DNS Nom Tapez Value
*.example.com example.com _x1.example.com. CNAME _x2.acm-validations.aws.
example.com example.com _x1.example.com. CNAME _x2.acm-validations.aws.
www.exemple.com example.com _x3.www.example.com. CNAME _x4.acm-validations.aws.
host.example.com example.com _x5.host.example.com. CNAME _x6.acm-validations.aws.
subdomain.example.com subdomain.example.com _x7.subdomain.example.com. CNAME _x8.acm-validations.aws.
host.subdomain.example.com subdomain.example.com _x9.host.subdomain.example.com. CNAME _x10.acm-validations.aws.

La validation DNS offre de nombreux avantages par rapport à la validation par e-mail :

  • DNS nécessite la création d'un seul enregistrement CNAME par nom de domaine lorsque vous demandez un certificat ACM. La validation par e-mail envoie jusqu'à huit e-mails par nom de domaine.

  • Vous pouvez demander des certificats ACM supplémentaires pour votre nom de domaine complet aussi longtemps que l'enregistrement DNS reste en place. En d'autres termes, vous pouvez créer plusieurs certificats qui ont le même nom de domaine. Vous n'avez pas besoin d'obtenir un nouvel enregistrement CNAME. Vous pouvez décider de le faire pour plusieurs raisons. Par exemple, il se peut que vous souhaitiez de nouveaux certificats qui couvrent différents sous-domaines. Il se peut que vous souhaitiez créer le même certificat dans plusieurs régions (le jeton de validation fonctionne pour toutes les régions). Il se peut que vous souhaitiez remplacer un certificat que vous avez supprimé.

  • ACM renouvelle automatiquement les certificats ACM que vous avez validés avec DNS. ACM renouvelle chaque certificat avant qu'il n'expire, aussi longtemps que le certificat est en cours d'utilisation et que l'enregistrement DNS reste en place.

  • ACM peut ajouter l'enregistrement CNAME pour vous si vous utilisez Route 53 pour gérer vos enregistrements DNS publics. Si vous n'utilisez pas Route 53 en tant que fournisseur DNS, contactez votre fournisseur DNS pour savoir comment ajouter des enregistrements.

  • Vous pouvez plus facilement automatiser le processus de validation DNS que vous le pouvez avec le processus de validation par e-mail.

  • Les certificats validés par e-mail sont renouvelables uniquement jusqu'à 825 jours après leur date de validation initiale. Après 825 jours, le propriétaire du domaine ou un représentant autorisé doit demander un nouveau certificat. Par contre, les certificats DNS sont renouvelables indéfiniment.

Toutefois, vous devrez peut-être utiliser la validation par e-mail si vous n'êtes pas autorisé à modifier les enregistrements DNS pour votre domaine.

Pour utiliser la validation DNS :

  1. Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home. Si la page d'introduction s'affiche, sélectionnez Get Started. Sinon, choisissez Request a certificate.

  2. Dans la page Request a certificate, saisissez votre nom de domaine. Pour plus d'informations sur la saisie de noms de domaine, consultez Demande d'un certificat public.

  3. Pour ajouter d'autres noms de domaine au certificat ACM, saisissez d'autres noms dans les zones de texte qui s'ouvrent sous le nom que vous venez d'entrer.

  4. Choisissez Nex t(Suivant).

  5. Choisissez DNS validation.

  6. Choisissez Review and request. Vérifiez que le nom de domaine et la méthode de validation sont corrects.

  7. Choisissez Confirm and request.

  8. Sur la page Validation récupérez le nom de l'enregistrement CNAME qui doit être ajouté à votre base de données DNS. Vous pouvez effectuer cette opération de deux façons:

    • Dans la section Domaine développez vos informations de domaine et enregistrez le Name (Nom) de l'enregistrement CNAME.

      Important

      Les informations CNAME dont vous avez besoin n'incluent pas le nom de votre domaine. Si vous incluez votre nom de domaine dans l'enregistrement CNAME de la base de données DNS, la validation échoue. Par exemple, le Name (Nom) affiché peut ressembler au suivant :

      _a79865eb4cd1a6ab990a45779b4e0b96.yourdomain.com

      Toutefois, les informations CNAME requises ne comprennent que les éléments suivants :

      _a79865eb4cd1a6ab990a45779b4e0b96
    • Vous pouvez également choisir Export DNS configuration to a file (Exporter la configuration DNS vers un fichier) au bas de la page Validation. Les informations contenues dans le fichier doivent toujours être ajoutées manuellement à votre base de données DNS.

  9. Le bouton Create record in Route 53 s'affiche si les conditions suivantes sont vraies :

    • Vous utilisez Route 53 comme fournisseur DNS.

    • Vous avez l'autorisation d'écrire dans la zone hébergée par Route 53.

    • Votre nom de domaine complet n'a pas encore été validé.

    Si le bouton Create record in Route 53 (Créer un enregistrement dans Route 53) est manquant ou désactivé, consultez La console ACM n'affiche pas le bouton « Create record in (Créer un enregistrement dans Route 53 ».

    Actuellement, vous ne pouvez pas demander par programmation la création automatique par ACM de votre enregistrement dans Route 53. Toutefois, vous pouvez effectuer un appel d' AWS CLI ou d'API à Route 53 pour créer l'enregistrement dans la base de données Route 53 DNS. Pour plus d'informations sur les jeux d'enregistrements Route 53, consultez Utilisation de jeux d'enregistrements de ressources.

  10. Ajoutez l'enregistrement de la console ou du fichier exporté à votre base de données DNS. Pour plus d'informations sur l'ajout d'un enregistrement à une base de données DNS, consultez Ajouter un CNAME à votre base de données de configuration DNS . Vous pouvez choisir Continue pour ignorer cette étape. Vous pouvez y revenir ultérieurement en ouvrant la demande de certificat dans la console.

    Note

    Si votre nom de domaine complet a été validé lorsque vous avez demandé un certificat précédent et que vous demandez un autre certificat pour le même nom de domaine complet, vous n'avez pas besoin d'ajouter un autre enregistrement DNS.

    Note

    L'ajout d'un enregistrement CNAME contenant déjà un nom de domaine (par exemple, .example.com) peut entraîner la duplication du nom de domaine (par exemple, .example.com.example.com). Pour éviter la duplication, vous pouvez copier manuellement uniquement la partie de l'alias CNAME dont vous avez besoin. Celle-ci peut être sous la forme _3639ac514e785e898d2646601fa951d5.

  11. Après la mise à jour de votre configuration DNS, choisissez Continue (Continuer). ACM affiche un tableau qui inclut toutes vos certificats. Le certificat que vous avez demandé et son statut s'affichent. Une fois que votre fournisseur DNS a propagé la mise à jour de votre enregistrement, ACM peut prendre plusieurs heures pour valider le nom de domaine et émettre le certificat. Pendant ce temps, ACM indique le statut de validation comme Pending validation. Après avoir validé le nom de domaine, ACM change le statut de validation en Success. Une fois que AWS a émis le certificat, ACM change le statut du certificat en Issued.

    Note

    Si ACM n'est pas en mesure de valider le nom de domaine dans un délai de 72 heures à partir du moment où il génère une valeur CNAME pour vous, ACM change le statut du certificat en Validation timed out. La raison la plus probable de ce résultat est que vous n'avez pas mis à jour votre configuration DNS avec la valeur ACM générée. Pour résoudre ce problème, vous devez demander un nouveau certificat.

    
						La console  affiche le CNAME pour la validation DNS.

Ajouter un CNAME à votre base de données de configuration DNS

Pour utiliser la validation DNS, vous devez être en mesure d'ajouter un enregistrement CNAME à la base de données de configuration DNS de votre domaine. Si nRoute 53'est pas votre fournisseur DNS, contactez votre fournisseur pour savoir comment ajouter des enregistrements à sa base de données DNS. Si Route 53 est votre fournisseur, ACM peut créer l'enregistrement CNAME pour vous comme indiqué précédemment à l'étape 9. Si vous souhaitez ajouter l'enregistrement vous-même, consultez Modification de jeux d'enregistrements de ressources dans le Manuel du développeur Route 53.

Si votre fournisseur DNS ne prend pas en charge les valeurs CNAME avec un trait de soulignement de début, consultez Résolution des problèmes liés à la validation DNS.

Note

Si vous n'êtes pas autorisé à modifier votre configuration DNS, vous devez utiliser la validation par e-mail.

Supprimer un CNAME de votre base de données de configuration DNS

renouvelle ACM automatiquement votre certificat aussi longtemps que le certificat est en cours d'utilisation et que l'enregistrement CNAME créé pour vous par reste en place dans votre base de données de configuration DNS.ACM Vous pouvez arrêter le renouvellement automatique en supprimant le certificat du service AWS auquel il est associé ou en supprimant l'enregistrement CNAME. Si Route 53 n'est pas votre fournisseur DNS, contactez votre fournisseur pour savoir comment supprimer l'enregistrement. Si Route 53 est votre fournisseur, consultez Suppression de jeux d'enregistrements de ressources dans le Manuel du développeur Route 53. Pour plus d'informations sur le renouvellement de certificats gérés, consultez Renouvellement géré pour les certificats émis par Amazon d'ACM.