Résolution des problèmes liés à la validation DNS - AWS Certificate Manager
Traits de soulignement interdits par le fournisseur DNSPoint final par défaut ajouté par le fournisseur DNSValidation DNS en GoDaddy cas d'échecBouton Route 53 manquantÉchec de la validation Route 53 sur les domaines privés (non approuvés).La validation est réussie mais l'émission ou le renouvellement échoueÉchec de la validation auprès d'un serveur DNS sur un VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes liés à la validation DNS

Consultez les conseils suivants si vous rencontrez des problèmes pour valider un certificat avec DNS.

La première étape du dépannage DNS consiste à vérifier l'état actuel de votre domaine à l'aide d'outils tels que les suivants :

Traits de soulignement interdits par le fournisseur DNS

Si votre fournisseur DNS interdit les traits de soulignement de début dans les valeurs CNAME, vous pouvez supprimer le trait de soulignement de la valeur fournie par ACM et valider votre domaine sans lui. Par exemple, la valeur CNAME _x2.acm-validations.aws peut être modifiée en x2.acm-validations.aws à des fins de validation. Toutefois, le paramètre de nom CNAME doit toujours commencer par un trait de soulignement de début.

Vous pouvez utiliser une des valeurs figurant dans la partie droite du tableau ci-dessous pour valider un domaine.

Nom

Type

Valeur

_<random value>.example.com.

CNAME

_<random value>.acm-validations.aws.

_<random value>.example.com.

CNAME

<random value>.acm-validations.aws.

Point final par défaut ajouté par le fournisseur DNS

Certains fournisseurs DNS ajoutent par défaut un point final à la valeur CNAME que vous fournissez. Par conséquent, si vous ajoutez vous-même un point, une erreur se produit. Par exemple, « <random_value>.acm-validations.aws. » est rejeté alors que « <random_value>.acm-validations.aws » est accepté.

Validation DNS en GoDaddy cas d'échec

La validation DNS des domaines enregistrés auprès de Godaddy et d'autres registres peut échouer si vous ne modifiez pas les valeurs CNAME fournies par ACM. Prenant example.com comme nom de domaine, l'enregistrement CNAME émis a la forme suivante :

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

Vous pouvez créer un enregistrement CNAME compatible avec GoDaddy en tronquant le domaine apex (y compris le point) à la fin du champ NAME, comme suit :

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

La console ACM n'affiche pas le bouton « Créer des enregistrements dans Route 53 »

Si vous sélectionnez Amazon Route 53 comme fournisseur DNS, vous AWS Certificate Manager pouvez interagir directement avec celui-ci pour valider la propriété de votre domaine. Dans certains cas, le bouton Créer des enregistrements dans Route 53 de la console peut ne pas être disponible lorsque vous l'attendez. Si cela se produit, passez en revue les causes possibles suivantes.

  • Vous n'utilisez pas Route 53 comme fournisseur DNS.

  • Vous êtes connecté à ACM et Route 53 via différents comptes.

  • Vous ne disposez pas des autorisations IAM requises pour créer des enregistrements dans une zone hébergée par Route 53.

  • Vous ou quelqu'un d'autre a déjà validé le domaine.

  • Le domaine n'est pas accessible publiquement.

Échec de la validation Route 53 sur les domaines privés (non approuvés).

Lors de la validation DNS, ACM recherche un CNAME dans une zone hébergée publiquement. Lorsqu'il n'en trouve pas, il expire au bout de 72 heures avec le statut Validation expirée. Vous ne pouvez pas l'utiliser pour héberger des enregistrements DNS pour des domaines privés, y compris des ressources dans une zone hébergée privée Amazon VPC, des domaines non approuvés dans votre PKI privée et des certificats auto-signés.

AWS fournit un support pour les domaines publics non fiables via le Autorité de certification privée AWSservice.

La validation est réussie mais l'émission ou le renouvellement échoue

Si l'émission du certificat échoue avec la mention « Validation en attente » même si le DNS est correct, vérifiez que l'émission n'est pas bloquée par un enregistrement d'autorisation de l'autorité de certification (CAA). Pour plus d’informations, consultez (Facultatif) Configuration d'un enregistrement CAA.

Échec de la validation auprès d'un serveur DNS sur un VPN

Si vous localisez un serveur DNS sur un VPN et qu'ACM ne parvient pas à valider un certificat auprès de ce dernier, déterminez si le serveur est publiquement accessible. L'émission de certificats publics à l'aide de la validation DNS ACM nécessite que les enregistrements de domaine puissent être résolus sur l'Internet public.