Résolution des problèmes liés à la validation par e-mail - AWS Certificate Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes liés à la validation par e-mail

Consultez les conseils suivants si vous rencontrez des problèmes pour valider un domaine de certificat par e-mail.

Pas de réception d'e-mail de validation

Lorsque vous demandez un certificat à ACM et que vous choisissez la validation par e-mail, l'e-mail de validation de domaine est envoyé aux trois adresses de contact spécifiées dans WHOIS et à cinq adresses administratives courantes. Pour plus d'informations, consultez Utilisation d'un e-mail pour valider la propriété du domaine. Si vous rencontrez des problèmes de réception d'e-mail de validation, consultez les suggestions qui suivent.

Où chercher l'e-mail

L'e-mail de validation est envoyé aux adresses de contact répertoriées dans WHOIS et aux adresses administratives courantes du domaine. L'e-mail n'est pas envoyé au propriétaire du compte AWS, sauf si le propriétaire est également répertorié comme contact du domaine dans WHOIS. Consultez la liste des adresses e-mail qui s'affichent dans la console ACM (ou qui sont retournées par la CLI ou l'API) pour déterminer où vous devez rechercher l'e-mail de validation. Pour consulter la liste, cliquez sur l'icône en regard du nom de domaine dans la case Validation not complete.

L'e-mail est marqué comme courrier indésirable

Recherchez l'e-mail de validation dans votre dossier Courrier indésirable.

GMail trie automatiquement votre e-mail

Si vous utilisez GMail, l'e-mail de validation peut avoir été automatiquement trié dans les onglets Updates (Mises à jour) ou Promotions (Promotions).

Le registre de domaine n'affiche pas d'informations sur le contact ou la protection de la confidentialité est activée

Dans certains cas, l'inscrit du domaine, les contacts techniques et administratifs dans WHOIS ne sont peut-être pas disponibles publiquement, et AWS ne peut donc pas joindre ces contacts. Vous pouvez choisir de configurer votre registre pour qu'il répertorie votre adresse e-mail dans WHOIS, mais les registres ne prennent pas tous cette option en charge. Vous pouvez être contraint d'apporter la modification directement dans le registre de votre domaine. Dans d'autres cas, les informations de contact du domaine peuvent utiliser une adresse confidentielle, comme celles fournies via WhoisGuard ou PrivacyGuard.

Pour les domaines achetés au service Route 53, la protection de la confidentialité est activée par défaut et votre adresse e-mail est mappée à une adresse e-mail whoisprivacyservice.org ou contact.gandi.net. Vérifiez que votre adresse e-mail d'inscrit figurant dans le fichier avec votre registre de domaine est à jour afin que l'e-mail envoyé à ces adresses e-mail masquées puisse être envoyé à une adresse e-mail que vous contrôlez.

Note

La protection de la confidentialité pour certains domaines que vous achetez avec Route 53 est activée même si vous choisissez de rendre vos informations de contact publiques. Par exemple, la protection de la confidentialité pour le domaine de niveau supérieur .ca ne peut pas être désactivée par programmation par Route 53. Vous devez contacter l'AWS Support Center pour lui demander de désactiver la protection de la confidentialité.

Si les coordonnées du contact d'e-mail pour votre domaine ne sont pas disponibles via WHOIS ou que l'e-mail envoyé aux coordonnées du contact n'atteint pas le propriétaire du domaine ou un représentant autorisé, nous vous recommandons de configurer votre domaine ou sous-domaine pour recevoir l'e-mail envoyé à une ou plusieurs adresses administratives courantes comprenant le préfixe admin@, administrator@, hostmaster@, webmaster@ et postmaster@ au nom de domaine demandé. Pour plus d'informations sur la configuration d'un d'e-mail pour votre domaine, consultez la documentation de votre fournisseur de services de messagerie et suivez les instructions indiquées à l'adresse (Facultatif) Configuration d'une adresse e-mail pour votre domaine. Si vous utilisez Amazon WorkMail, consultez Utilisation des utilisateurs dans le Guide de l'administrateur Amazon WorkMail.

Après voir mis à disposition au moins une des huit adresses e-mail auxquelles AWS envoie un e-mail de validation et avoir confirmé que vous pouvez recevoir un e-mail pour cette adresse, vous êtes prêt à demander un certificat via ACM. Une fois que vous avez créé une demande de certificat, vérifiez que l'adresse e-mail prévue s'affiche dans la liste des adresses e-mail dans AWS Management Console. Pendant que le certificat a l'état Validation en attente, vous pouvez développer la liste pour l'afficher en cliquant sur l'icône en regard du nom de domaine dans la case Validation non terminée. Vous pouvez également afficher la liste à l'étape 3 : Valider de l'assistant ACMDemander un certificat. Les adresses e-mail répertoriées sont celles auxquelles l'e-mail a été envoyé.

Enregistrements MX manquants ou configurés de façon incorrecte

Un enregistrement MX est un enregistrement de ressource situé dans la base de données du système de noms de domaine (DNS), qui spécifie un ou plusieurs serveurs de messagerie qui acceptent les e-mails pour votre domaine. Si votre enregistrement MX est manquant ou mal configuré, aucun e-mail ne peut être envoyé à l'une des cinq adresses d'administration système courantes spécifiées à la section Utilisation d'un e-mail pour valider la propriété du domaine. Corrigez ce problème d'enregistrement MX manquant ou mal configuré et essayez de renvoyer l'e-mail ou de redemander votre certificat.

Note

Actuellement, nous vous recommandons de patienter au moins une heure avant d'essayer de renvoyer l'e-mail ou de demander votre certificat.

Note

Pour éviter d'exiger un enregistrement MX, vous pouvez utiliser l'option ValidationDomain dans l'API RequestCertificate ou la commande request-certificate pour spécifier le nom de domaine auquel AWS CLI envoie les e-mails de validation.ACM Si vous utilisez l'API ou l'AWS CLI, AWS n'effectue pas de recherche MX.

Contacter le Centre de support

Si, après avoir consulté les conseils précédents, vous ne recevez toujours pas l'e-mail de validation de domaine, accédez au Centre de support AWS Support et créez une demande. Si vous n'avez pas de contrat d'assistance, envoyez un message au Forum de discussion ACM.

E-mail envoyé au sous-domaine

Si vous utilisez la console et demandez un certificat pour un nom de sous-domaine comme sub.test.example.com, ACM vérifie s'il existe un enregistrement MX pour sub.test.example.com. Dans le cas contraire, le domaine parent test.example.com est vérifié, et ainsi de suite, jusqu'au domaine de base example.com. Si un enregistrement MX est trouvé, la recherche s'arrête et un e-mail de validation est envoyé aux adresses administratives courantes du sous-domaine. Ainsi, par exemple, si un enregistrement MX est trouvé pour test.example.com, un e-mail est envoyé à admin@test.example.com, administrator@test.example.com et aux autres adresses administratives spécifiées dans Utilisation d'un e-mail pour valider la propriété du domaine. Si aucun enregistrement MX n'est trouvé dans tous les sous-domaines, un e-mail est envoyé au sous-domaine pour lequel vous avez initialement demandé le certificat. Pour une discussion approfondie sur la manière de configurer votre e-mail et sur le fonctionnement d'ACM avec DNS et la base de données WHOIS, consultez (Facultatif) Configuration d'une adresse e-mail pour votre domaine.

Au lieu d'utiliser la console, vous pouvez utiliser l'option ValidationDomain dans l'API RequestCertificate ou la commande request-certificate pour spécifier le nom de domaine auquel AWS CLI envoie les e-mails de validation.ACM Si vous utilisez l'API ou l'AWS CLI, AWS n'effectue pas de recherche MX.

Informations de contact masquées

Un problème fréquent survient lorsque vous tentez de créer un nouveau certificat. Certains registres vous permettent de masquer vos informations de contact dans votre liste WHOIS. D'autres vous permettent de remplacer vos adresses de messagerie réelles par une adresse privée (ou proxy). Cela vous empêche de recevoir un e-mail de validation à vos adresses de contact enregistrées.

Pour recevoir l'e-mail, vérifiez que vos informations de contact sont publiques dans WHOIS, ou si votre liste WHOIS affiche une adresse e-mail confidentielle, assurez-vous que l'e-mail envoyé à cette adresse est transmis à votre adresse e-mail réelle. Une fois que votre configuration WHOIS est complète et aussi longtemps que votre demande de certificat n'a pas expiré, vous pouvez choisir de renvoyer l'e-mail de validation. ACM effectue une nouvelle recherche WHOIS/MX et envoie un e-mail de validation à votre adresse de contact publique.

Renouvellement de certificats

Si vous avez rendu vos informations WHOIS publiques lorsque vous avez demandé un nouveau certificat, puis masqué vos informations par la suite, ACM ne peut pas extraire vos adresses de contact inscrites lorsque vous tentez de renouveler votre certificat. ACM envoie un e-mail de validation à ces adresses de contact et aux cinq adresses administratives courantes formées à l'aide de votre enregistrement MX. Pour résoudre ce problème, rendez à nouveau vos informations WHOIS publiques et renvoyez les e-mails de validation. ACM effectue une nouvelle recherche WHOIS/MX et envoie un e-mail de validation à vos adresses de contact publiques.

Limitation WHOIS

Il peut arriver qu'ACM soit incapable de contacter le serveur WHOIS alors que vous avez envoyé plusieurs requêtes d'un e-mail de validation. Ce problème est externe à AWS. Cela signifie qu'AWS ne contrôle pas les serveurs WHOIS et ne peut pas empêcher la limitation du serveur WHOIS. Si vous rencontrez ce problème, créez une demande auprès du Centre AWS Support qui vous aidera à le contourner.

Horodatage initial permanent pour la validation par e-mail

L'horodatage de la première demande de validation par e-mail d'un certificat persiste par le biais de demandes ultérieures de renouvellement de la validation. Il ne s'agit pas d'une preuve d'erreur dans les opérations ACM.