Risolvi i problemi DNS di convalida - AWS Certificate Manager
Sottolineature proibite dal provider DNSPeriodo finale predefinito aggiunto dal provider DNSDNSconvalida in caso di errore GoDaddy Pulsante Route 53 mancanteLa convalida di Route 53 non riesce su domini privati (non attendibili)La convalida ha esito positivo ma l'emissione o il rinnovo fallisconoLa convalida non riesce per il server su un DNS VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risolvi i problemi DNS di convalida

Consulta la seguente guida se hai problemi a convalidare un certificato con. DNS

Il primo passo per la DNS risoluzione dei problemi consiste nel verificare lo stato attuale del dominio con strumenti come i seguenti:

Sottolineature proibite dal provider DNS

Se il tuo DNS provider proibisce i caratteri di sottolineatura iniziali nei CNAME valori, puoi rimuovere il carattere di sottolineatura dal valore ACM fornito e convalidare il dominio senza di esso. Ad esempio, il CNAME valore _x2.acm-validations.aws può essere modificato a scopo di convalida. x2.acm-validations.aws Tuttavia, il parametro CNAME name deve sempre iniziare con un carattere di sottolineatura iniziale.

Per convalidare un dominio è possibile utilizzare uno dei valori a destra della tabella qui di seguito.

Nome

Tipo

Valore

_<random value>.example.com.

CNAME

_<random value>.acm-validations.aws.

_<random value>.example.com.

CNAME

<random value>.acm-validations.aws.

Periodo finale predefinito aggiunto dal provider DNS

Alcuni DNS provider aggiungono per impostazione predefinita un periodo finale al CNAME valore fornito dall'utente. Di conseguenza, l'aggiunta del periodo provoca un errore. Ad esempio, "<random_value>.acm-validations.aws." viene rifiutato mentre "<random_value>.acm-validations.aws" è accettato.

DNSconvalida in caso di errore GoDaddy

DNSla convalida per i domini registrati con Godaddy e altri registri potrebbe non riuscire a meno che non si modifichino i valori forniti da. CNAME ACM Prendendo example.com come nome di dominio, il record emesso ha il seguente formato: CNAME

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

È possibile creare un CNAME record compatibile con GoDaddy troncando il dominio apex (incluso il punto) alla fine del campo, come segue: NAME

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

ACMLa console non visualizza il pulsante «Crea record in Route 53"

Se scegli Amazon Route 53 come DNS provider, AWS Certificate Manager può interagire direttamente con esso per convalidare la proprietà del dominio. In alcune circostanze, il pulsante Crea registri in Route 53 della console potrebbe non essere disponibile. In questo caso, verificare le seguenti possibili cause.

  • Non stai utilizzando Route 53 come DNS provider.

  • Hai effettuato l'accesso a ACM Route 53 tramite account diversi.

  • Non hai le IAM autorizzazioni per creare record in una zona ospitata da Route 53.

  • L'utente o un'altra persona ha già convalidato il dominio.

  • Il dominio non è indirizzabile pubblicamente.

La convalida di Route 53 non riesce su domini privati (non attendibili)

Durante la DNS convalida, ACM cerca un CNAME in una zona ospitata pubblicamente. Quando non ne trova uno, viene eseguito il timeout dopo 72 ore con uno stato di Validation timed out (Timeout della convalida). Non puoi utilizzarlo per ospitare DNS record per domini privati, incluse risorse in una zona ospitata VPC privata di Amazon, domini non attendibili nei tuoi certificati privati PKI e certificati autofirmati.

AWS fornisce supporto per domini pubblicamente non attendibili tramite CA privata AWSservizio.

La convalida ha esito positivo ma l'emissione o il rinnovo falliscono

Se l'emissione del certificato non va a buon fine con l'indicazione «In attesa di convalida» anche se DNS è corretta, verifica che l'emissione non sia bloccata da un record di Certification Authority Authorization (). CAA Per ulteriori informazioni, consulta (Facoltativo) Configura un record CAA.

La convalida non riesce per il server su un DNS VPN

Se trovi un DNS server su un server VPN e ACM non riesci a convalidare un certificato in base ad esso, controlla se il server è accessibile pubblicamente. L'emissione di certificati pubblici mediante la ACM DNS convalida richiede che i record del dominio siano risolvibili sulla rete Internet pubblica.