DNS 検証の問題のトラブルシューティング - AWS Certificate Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DNS 検証の問題のトラブルシューティング

証明書の DNS 検証で問題が発生した場合は、次のガイダンスを参照してください。

ヒント

DNS トラブルシューティングの最初のステップは、以下のようなツールを使用してドメインの現在のステータスを確認することです。

DNS プロバイダによって禁止されているアンダースコア

DNS プロバイダーが CNAME 値の先頭アンダースコアを禁止している場合は、ACM によって提供される値からアンダースコアを削除して、ドメインを検証してください。たとえば、CNAME 値 _x2.acm-validations.aws を検証目的で x2.acm-validations.aws に変更できます。ただし、CNAME name パラメータは常にアンダースコアで始まる必要があります。

下の表の右側のいずれかの値を使用して、ドメインを検証できます。

名前

タイプ

_<random value>.example.com.

CNAME

_<random value>.acm-validations.aws.

_<random value>.example.com.

CNAME

<random value>.acm-validations.aws.

DNS プロバイダーによって追加されたデフォルトの末尾の期間

一部の DNS プロバイダーは、既定で、指定した CNAME 値に末尾のピリオドを追加します。その結果、自分でピリオドを追加するとエラーが発生します。たとえば、」<random_value>.acm-validations.aws.「は拒否されますが、」<random_value>.acm-validations.aws「は受け入れられます。

GoDaddy での DNS 検証が失敗する

Godaddy およびその他のレジストリに登録されているドメインの DNS 検証は、ACM によって提供される CNAME 値を変更しない限り、失敗することがあります。たとえば example.com をドメイン名として使用している場合、発行される CNAME レコードは次の形式になります。

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

GoDaddy と互換性のある CNAME レコードを作成するには、次に示すように、[NAME] フィールドの末尾で apex ドメイン (ピリオドを含む) を切り捨てます。

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

.IO トップレベルドメインに関する問題のトラブルシューティング

.io トップレベルドメインは、英領インド洋地域に割り当てられています。現在、ドメインレジストリは、WHOIS データベースの公開情報を表示しません。これは、ドメインのプライバシー保護が有効か無効かにかかわらず、当てはまります。WHOIS ルックアップが実行されると、難読化されたレジストラ情報のみが返されます。したがって、ACM は WHOIS で通常利用可能な次の 3 つの登録済み連絡先アドレスに検証 E メールを送信できません。

  • ドメインの登録者

  • テクニカル担当者

  • 管理者の連絡先

ただし、ACM は、次の 5 つの一般的なシステムアドレスに検証 E メールを送信します。your_domain は最初に証明書を要求したときに入力したドメイン名で、.io最上位ドメインです。

  • 管理者@your_domain.io

  • hostmaster @your_domain.io

  • postmaster @your_domain.io

  • webmaster @your_domain.io

  • admin @your_domain.io

.io ドメインの検証 E メールを受信するには、上記の 5 つの E メールアカウントのいずれかが有効になっていることを確認してください。そうしないと、検証 E メールは受信されず、ACM 証明書は発行されません。

注記

E メール検証の代わりに DNS 検証を使用することをお勧めします。詳細については、「オプション 1: DNS での検証」を参照してください。

ACM コンソールに「Route 53でレコードを作成」ボタンが表示されない

DNS プロバイダーに Amazon Route 53 を選択した場合、AWS Certificate Manager は直接これを操作して、ドメイン所有者の検証を実行できます。状況によっては、コンソールのRoute 53 でレコードを作成するボタンは、期待どおりに使用できない場合があります。このような場合には以下の原因が考えられますので、確認してください。

  • リポジトリの []検証ページで、ドメイン名の横にある下向き矢印をクリックしませんでした。

  • Route 53 を DNS プロバイダーとして使用していません。

  • ACM および Route 53 には、異なるアカウントを使用してログインしています。

  • Route 53 によってホストされるゾーンでレコードを作成する IAM アクセス許可を持っていない。

  • ユーザーまたは第三者によりすでにドメインが検証されている。

  • ドメインがパブリックにアドレス解決できない。

プライベートドメインで Route 53 検証が失敗する

ルート53は排他的にパブリックDNS サービス ACM プライベート CA でサポートされるプライベートドメインなど、プライベートドメインの DNS レコードをホストするために使用することはできません。DNS 検証中に、ACM はパブリックホストゾーンで CNAME を検索します。見つからなかった場合、72 時間後にタイムアウトし、[検証タイムアウト] ステータスになります。

VPN 上の DNS サーバーの検証が失敗する

VPN で DNS サーバーを検索し、ACM がそのサーバーに対して証明書の検証に失敗した場合は、サーバーがパブリックにアクセスできるかどうかを確認します。ACM DNS 検証を使用したパブリック証明書の発行では、ドメインレコードがパブリックインターネット経由で解決可能であることが必要です。