DNS 検証の問題のトラブルシューティング - AWS Certificate Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DNS 検証の問題のトラブルシューティング

証明書の DNS 検証で問題が発生した場合は、次のガイダンスを参照してください。

ヒント

DNS トラブルシューティングの最初のステップは、以下のようなツールを使用してドメインの現在のステータスを確認することです。

DNS プロバイダーがアンダースコアを禁止している

DNS プロバイダーがアンダースコアで始まる CNAME 値を禁止している場合は、ACM によって提供された値からアンダースコアを削除し、ドメインを検証してください。たとえば、CNAME 値 _x2.acm-validations.aws を検証目的で x2.acm-validations.aws に変更できます。ただし、CNAME name パラメータは常にアンダースコアで始まる必要があります。

下の表の右側のいずれかの値を使用して、ドメインを検証できます。

名前

タイプ

_<random value>.example.com。

CNAME

_<random value>.acm-validations.aws。

_<random value>.example.com。

CNAME

<random value>.acm-validations.aws。

DNS プロバイダーによって追加されたデフォルトの末尾のピリオド

一部の DNS プロバイダーは、デフォルトで、指定した CNAME 値に末尾のピリオドを追加します。その結果、自分でピリオドを追加するとエラーが発生します。たとえば、「<random_value>.acm-validations.aws.」は拒否されますが、「<random_value>.acm-validations.aws」は受け入れられます。

GoDaddy での DNS 検証に失敗する

Godaddy およびその他のレジストリに登録されているドメインの DNS 検証は、ACM が提供している CNAME 値を変更しない限り、失敗することがあります。たとえば example.com をドメイン名として使用している場合、発行される CNAME レコードは次の形式になります。

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

GoDaddy と互換性のある CNAME レコードを作成するには、次に示すように、[NAME] フィールドの末尾で apex ドメイン (ピリオドを含む) を切り捨てます。

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

ACM コンソールで [Create record in Route 53] ボタンが表示されない

DNS プロバイダーとして Amazon Route 53 を選択した場合、AWS Certificate Manager 直接これを操作して、ドメイン所有権を検証できます。状況によっては、予想に反してコンソールの [Create records in Route 53] ボタンが利用できない場合があります。このような場合には以下の原因が考えられますので、確認してください。

  • DNS プロバイダーとして Route 53 を使用していない。

  • さまざまなアカウントを通じて ACM および Route 53 にログインしている。

  • Route 53 によりホストされるゾーンでレコードを作成する IAM アクセス許可を持っていない。

  • ユーザーまたは第三者によりすでにドメインが検証されている。

  • ドメインがパブリックにアドレス解決できない。

プライベート (信頼されていない) ドメインで Route 53 検証が失敗する

DNS 検証中に、ACM はパブリックホストゾーンで CNAME を検索します。見つからなかった場合、72 時間後にタイムアウトし、[検証タイムアウト] ステータスになります。プライベート PKI 内の信頼されていないドメインなどの Amazon VPC プライベートホストゾーンまたは自己署名証明書では、それを使用して DNS レコードをホストすることはできません。

AWS は、 AWS Private CA サービスを通じて、パブリックに信頼されていないドメインのサポートを提供します。

VPN で DNS サーバーの検証が失敗する

VPN で DNS サーバーを検索し、ACM がそのサーバーに対して証明書の検証に失敗した場合は、サーバーがパブリックにアクセスできるかどうかを確認します。ACM DNS 検証を使用したパブリック証明書の発行では、ドメインレコードがパブリックインターネット経由で解決可能であることが必要です。

DNS の検証は成功したが、発行または更新に失敗する

DNS が正しいにもかかわらず、証明書の発行が「検証保留中」で失敗した場合は、CAA レコードによって発行がブロックされていないことを確認します。詳細については、「(オプション) CAA レコードの設定」を参照してください。