DNS 検証の問題のトラブルシューティング - AWS Certificate Manager

DNS 検証の問題のトラブルシューティング

証明書の DNS 検証で問題が発生した場合は、次のガイダンスを参照してください。

ヒント

DNS トラブルシューティングの最初のステップは、以下のようなツールを使用してドメインの現在のステータスを確認することです。

CAA (Certification Authority Authorization) の問題のトラブルシューティング

CAA DNS レコードを使用して、Amazon 認証局 (CA) によるドメインまたはサブドメイン用の ACM 証明書の発行を指定できます。証明書の発行中に、"CAA (Certification Authority Authentication) エラーにより、1 つまたは複数のドメイン名の検証に失敗しました。" というメッセージが表示された場合は、CAA DNS レコードを調べてください。ACM 証明書リクエストが正常に検証された後でこのエラーが表示された場合は、CAA レコードを更新して、証明書を再度リクエストする必要があります。CAA レコードの少なくとも 1 つの [] フィールドに、次のいずれかのドメイン名が含まれている必要があります。

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

ACM で CAA チェックを実行しない場合は、ドメインの CAA レコードを設定しないか、CAA レコードを空白のままにします。CAA レコード作成についての詳細は、「(オプション) CAA レコードの設定」を参照してください。

DNS プロバイダーがアンダースコアを禁止している

DNS プロバイダーがアンダースコアで始まる CNAME 値を禁止している場合は、ACM によって提供された値からアンダースコアを削除し、ドメインを検証してください。たとえば、CNAME 値 _x2.acm-validations.aws を検証目的で x2.acm-validations.aws に変更できます。ただし、CNAME name パラメータは常にアンダースコアで始まる必要があります。

下の表の右側のいずれかの値を使用して、ドメインを検証できます。

名前

タイプ

_<random value>.example.com.

CNAME

_<random value>.acm-validations.aws.

_<random value>.example.com.

CNAME

<random value>.acm-validations.aws.

GoDaddy での DNS 検証に失敗する

Godaddy およびその他のレジストリに登録されているドメインの DNS 検証は、ACM が提供している CNAME 値を変更しない限り、失敗することがあります。たとえば example.com をドメイン名として使用している場合、発行される CNAME レコードは次の形式になります。

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

GoDaddy と互換性のある CNAME レコードを作成するには、次に示すように、[NAME] フィールドの末尾で apex ドメイン (ピリオドを含む) を切り捨てます。

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

.IO ドメインに関する問題のトラブルシューティング

.io ドメインは英領インド洋地域に割り当てられています。現在、ドメインレジストリは、WHOIS データベースの公開情報を表示しません。これは、ドメインのプライバシー保護が有効か無効かにかかわらず、当てはまります。WHOIS ルックアップが実行されると、難読化されたレジストラ情報のみが返されます。したがって、ACM は WHOIS で通常利用可能な次の 3 つの登録済み連絡先アドレスに検証 E メールを送信できません。

  • ドメインの登録者

  • テクニカル担当者

  • 管理者の連絡先

ただし、ACM は最初に証明書を要求したときに your_domain のドメイン名を入力した、.io が最上位ドメインの、次の 5 つの一般的なシステムアドレスに検証 E メールを送信します。

  • administrator@your_domain.io

  • hostmaster@your_domain.io

  • postmaster@your_domain.io

  • webmaster@your_domain.io

  • admin@your_domain.io

.io ドメインの検証 E メールを受信するには、上記の 5 つの E メールアカウントのいずれかが有効になっていることを確認してください。上記を実行しない場合、検証 E メールは受信されず、ACM 証明書は発行されません。

注記

E メール検証の代わりに DNS 検証を使用することをお勧めします。詳細については、「DNS を使用したドメインの所有権の検証」を参照してください。

ACM コンソールで [Create record in Route 53 (Route 53 でレコードを作成)] ボタンが表示されない

DNS プロバイダーに Amazon Route 53 を選択した場合、AWS Certificate Manager は直接これを操作して、ドメイン所有者の検証を実行できます。状況によっては、予想に反してコンソールの [Create record in Route 53] ボタンが利用できない場合があります。このような場合には以下の原因が考えられますので、確認してください。

  • DNS プロバイダーに Route 53 を使用していない。

  • さまざまなアカウントを通じて ACM および Route 53 にログインしている。

  • Route 53 によりホストされるゾーンでレコードを作成する IAM アクセス許可を持っていない。

  • ユーザーまたは第三者によりすでにドメインが検証されている。

  • ドメインがパブリックにアドレス解決できない。

プライベートドメインで Route 53 検証が失敗する

Route 53 は専用のパブリック DNS サービスです。ACM Private CA でサポートされるプライベートドメインなど、プライベートドメインの DNS レコードをホストするために使用することはできません。DNS 検証中に、ACM はパブリックホストゾーンで CNAME を検索します。見つからなかった場合、72 時間後にタイムアウトし、[検証タイムアウト] ステータスになります。