Validasi DNS - AWS Certificate Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Validasi DNS

Domain Name System (DNS) adalah layanan direktori untuk sumber daya yang terhubung ke jaringan. Penyedia DNS Anda memelihara database yang berisi catatan yang menentukan domain Anda. Saat Anda memilih validasi DNS, ACM memberi Anda satu atau beberapa catatan CNAME yang harus ditambahkan ke database ini. Catatan ini berisi pasangan kunci-nilai unik yang berfungsi sebagai bukti bahwa Anda mengontrol domain.

catatan

Setelah Anda membuat sertifikat dengan validasi email, Anda tidak dapat beralih untuk memvalidasinya dengan DNS.

Misalnya, jika Anda meminta sertifikat untuk example.com domain dengan nama tambahanwww.example.com, ACM membuat dua catatan CNAME untuk Anda. Setiap catatan, yang dibuat khusus untuk domain dan akun Anda, berisi nama dan nilai. Nilai adalah alias yang menunjuk ke AWS domain yang digunakan ACM untuk memperbarui sertifikat Anda secara otomatis. Catatan CNAME harus ditambahkan ke database DNS Anda hanya sekali. ACM secara otomatis memperbarui sertifikat Anda selama sertifikat digunakan dan catatan CNAME Anda tetap ada.

penting

Jika Anda tidak menggunakan Amazon Route 53 untuk mengelola catatan DNS publik Anda, hubungi penyedia DNS Anda untuk mengetahui cara menambahkan catatan. Jika Anda tidak memiliki otoritas untuk mengedit database DNS domain Anda, Anda harus menggunakan validasi email sebagai gantinya.

Tanpa perlu mengulang validasi, Anda dapat meminta sertifikat ACM tambahan untuk nama domain yang sepenuhnya memenuhi syarat (FQDN) selama catatan CNAME tetap ada. Artinya, Anda dapat membuat sertifikat pengganti yang memiliki nama domain yang sama, atau sertifikat yang mencakup subdomain yang berbeda. Karena token validasi CNAME berfungsi untuk AWS Wilayah mana pun, Anda dapat membuat ulang sertifikat yang sama di beberapa Wilayah. Anda juga dapat mengganti sertifikat yang dihapus.

Anda dapat menghentikan pembaruan otomatis baik dengan menghapus sertifikat dari AWS layanan yang terkait dengannya atau dengan menghapus catatan CNAME. Jika Route 53 bukan penyedia DNS Anda, hubungi penyedia Anda untuk mengetahui cara menghapus catatan. Jika Route 53 adalah penyedia Anda, lihat Menghapus Kumpulan Rekaman Sumber Daya di Panduan Pengembang Route 53. Untuk informasi selengkapnya tentang perpanjangan sertifikat terkelola, lihatPerpanjangan terkelola untuk sertifikat ACM.

catatan

Resolusi CNAME akan gagal jika lebih dari lima CNAME dirantai bersama dalam konfigurasi DNS Anda. Jika Anda memerlukan rantai yang lebih panjang, sebaiknya gunakan validasi email.

Bagaimana catatan CNAME untuk ACM bekerja

catatan

Bagian ini ditujukan untuk pelanggan yang tidak menggunakan Route 53 sebagai penyedia DNS mereka.

Jika Anda tidak menggunakan Route 53 sebagai penyedia DNS Anda, Anda perlu memasukkan catatan CNAME secara manual yang disediakan oleh ACM ke dalam database penyedia Anda, biasanya melalui situs web. Catatan CNAME digunakan untuk sejumlah tujuan, termasuk sebagai mekanisme pengalihan dan sebagai wadah untuk metadata khusus vendor. Untuk ACM, catatan ini memungkinkan validasi kepemilikan domain awal dan perpanjangan sertifikat otomatis yang sedang berlangsung.

Tabel berikut menunjukkan contoh catatan CNAME untuk enam nama domain. Setiap pasangan Record Name - Record Value berfungsi untuk mengautentikasi kepemilikan nama domain.

Dalam tabel, perhatikan bahwa dua pasangan Record Name - Record Value pertama adalah sama. Ini menggambarkan bahwa untuk domain wild-card, seperti*.example.com, string yang dibuat oleh ACM sama dengan yang dibuat untuk domain dasarnya,. example.com Jika tidak, Nama Rekaman dan Nilai Rekaman yang dipasangkan berbeda untuk setiap nama domain.

Contoh catatan CNAME
Nama domain Nama Rekam Nilai Rekam Komentar
*.example.com _ x1 .example.com. _ x2 .acm-validations.aws. Identik
contoh.com _ x1 .example.com. _ x2 .acm-validations.aws.
www.example.com _ x3 .www.example.com. _ x4 .acm-validations.aws. Unik
host.example.com _ x5 .host.example.com. _ x6 .acm-validations.aws. Unik
subdomain.contoh.com _ x7 .subdomain.example.com. _ x8 .acm-validations.aws. Unik
host.subdomain.example.com _ x9 .host.subdomain.example.com. _ x10 .acm-validations.aws. Unik

Nilai xN mengikuti garis bawah (_) adalah string panjang yang dihasilkan oleh ACM. Misalnya,

_3639ac514e785e898d2646601fa951d5.example.com.

mewakili Nama Rekaman yang dihasilkan. Nilai Rekaman terkait mungkin

_98d2646601fa951d53639ac514e785e8.acm-validation.aws.

untuk catatan DNS yang sama.

catatan

Jika penyedia DNS Anda tidak mendukung nilai CNAME dengan garis bawah utama, lihat Memecahkan Masalah Validasi DNS.

Saat Anda meminta sertifikat dan menentukan validasi DNS, ACM menyediakan informasi CNAME dalam format berikut:

Nama Domain Nama Rekam Jenis Rekaman Nilai Rekam
contoh.com _a79865eb4cd1a6ab990a45779b4e0b96.example.com. CNAME

_424c7224e9b0146f9a8808af955727d0.acm-validations.aws.

Nama Domain adalah FQDN yang terkait dengan sertifikat. Nama Rekam mengidentifikasi catatan secara unik, berfungsi sebagai kunci dari pasangan kunci-nilai. Record Value berfungsi sebagai nilai pasangan kunci-nilai.

Ketiga nilai ini (Nama Domain, Nama Rekam, dan Nilai Rekam) harus dimasukkan ke dalam bidang yang sesuai dari antarmuka web penyedia DNS Anda untuk menambahkan catatan DNS. Penyedia tidak konsisten dalam penanganan bidang nama rekaman (atau hanya “nama”). Dalam beberapa kasus, Anda diharapkan untuk menyediakan seluruh string seperti yang ditunjukkan di atas. Penyedia lain secara otomatis menambahkan nama domain ke string apa pun yang Anda masukkan, artinya (dalam contoh ini) yang hanya boleh Anda masukkan

_a79865eb4cd1a6ab990a45779b4e0b96

ke bidang nama. Jika Anda salah menebak tentang hal ini, dan memasukkan nama rekaman yang berisi nama domain (seperti .example.com), Anda mungkin berakhir dengan yang berikut:

_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.

Validasi akan gagal dalam kasus ini. Akibatnya, Anda harus mencoba menentukan terlebih dahulu jenis input yang diharapkan penyedia Anda.

Menyiapkan validasi DNS

Bagian ini menjelaskan cara mengonfigurasi sertifikat publik untuk menggunakan validasi DNS.

Untuk mengatur validasi DNS di konsol
catatan

Prosedur ini mengasumsikan bahwa Anda telah membuat setidaknya satu sertifikat dan bahwa Anda bekerja di AWS Wilayah tempat Anda membuatnya. Jika Anda mencoba membuka konsol dan melihat layar penggunaan pertama, atau Anda berhasil membuka konsol dan tidak melihat sertifikat Anda dalam daftar, konfirmasikan bahwa Anda telah menentukan Wilayah yang benar.

  1. Buka konsol ACM di https://console.aws.amazon.com/acm/.

  2. Dalam daftar sertifikat, pilih ID Sertifikat sertifikat dengan status Validasi tertunda yang ingin Anda konfigurasi. Ini membuka halaman detail untuk sertifikat.

  3. Di bagian Domain, lengkapi salah satu dari dua prosedur berikut:

    1. (Opsional) Validasi dengan Route 53.

      Tombol Buat catatan aktif di Route 53 muncul jika kondisi berikut benar:

      • Anda menggunakan Route 53 sebagai penyedia DNS Anda.

      • Anda memiliki izin untuk menulis ke zona yang dihosting oleh Route 53.

      • FQDN Anda belum divalidasi.

      catatan

      Jika Anda sebenarnya menggunakan Route 53 tetapi tombol Buat catatan di Route 53 hilang atau dinonaktifkan, lihatKonsol ACM tidak menampilkan tombol “Buat catatan di Rute 53".

      Pilih tombol Buat catatan di Route 53, lalu pilih Buat catatan. Halaman status Sertifikat harus terbuka dengan spanduk status yang melaporkan Catatan DNS yang berhasil dibuat.

      Sertifikat baru Anda mungkin terus menampilkan status validasi Tertunda hingga 30 menit.

      Tip

      Anda tidak dapat meminta secara terprogram agar ACM secara otomatis membuat catatan Anda di Route 53. Namun, Anda dapat membuat panggilan API AWS CLI atau ke Route 53 untuk membuat catatan di database DNS Route 53. Untuk informasi selengkapnya tentang kumpulan rekaman Route 53, lihat Bekerja dengan Kumpulan Rekaman Sumber Daya.

    2. (Opsional) Jika Anda tidak menggunakan Route 53 sebagai penyedia DNS Anda, Anda harus mengambil informasi CNAME dan menambahkannya database DNS Anda. Pada halaman detail untuk sertifikat baru, Anda dapat melakukan ini dengan salah satu dari dua cara:

      • Salin komponen CNAME yang ditampilkan di bagian Domain. Informasi ini perlu ditambahkan secara manual ke database DNS Anda.

      • Atau, pilih Ekspor ke CSV. Informasi dalam file yang dihasilkan perlu ditambahkan secara manual ke database DNS Anda.

      penting

      Untuk menghindari masalah validasi, tinjau Bagaimana catatan CNAME untuk ACM bekerja sebelum menambahkan informasi ke database penyedia DNS Anda. Jika Anda mengalami masalah, lihatMemecahkan masalah validasi DNS.

Jika ACM tidak dapat memvalidasi nama domain dalam waktu 72 jam sejak menghasilkan nilai CNAME untuk Anda, ACM mengubah status sertifikat menjadi Validasi yang telah habis waktunya. Alasan yang paling mungkin untuk hasil ini adalah bahwa Anda tidak berhasil memperbarui konfigurasi DNS Anda dengan nilai yang dihasilkan ACM. Untuk mengatasi masalah ini, Anda harus meminta sertifikat baru setelah meninjau instruksi CNAME.