DNS プロバイダーがアンダースコアを禁止している DNS プロバイダーによって追加されたデフォルトの末尾のピリオド DNS GoDaddy 検証が失敗する Route 53 ボタンがありませんプライベート (信頼されていない) ドメインで Route 53 検証が失敗する検証は成功するが、発行または更新は失敗する VPN で DNS サーバーの検証が失敗する

DNS 検証の問題のトラブルシューティング

証明書の DNS 検証で問題が発生した場合は、次のガイダンスを参照してください。

DNS トラブルシューティングの最初のステップは、以下のようなツールを使用してドメインの現在のステータスを確認することです。

dig — Linux、Windows
nslookup — Linux、Windows
whois — Linux、Windows

トピック

DNS プロバイダーがアンダースコアを禁止している
DNS プロバイダーによって追加されたデフォルトの末尾のピリオド
DNS GoDaddy 検証が失敗する
ACM コンソールで [Create record in Route 53] ボタンが表示されない
プライベート (信頼されていない) ドメインで Route 53 検証が失敗する
検証は成功するが、発行または更新は失敗する
VPN で DNS サーバーの検証が失敗する

DNS プロバイダーがアンダースコアを禁止している

DNS プロバイダーがアンダースコアで始まる CNAME 値を禁止している場合は、ACM によって提供された値からアンダースコアを削除し、ドメインを検証してください。たとえば、CNAME 値 _x2.acm-validations.aws を検証目的で x2.acm-validations.aws に変更できます。ただし、CNAME name パラメータは常にアンダースコアで始まる必要があります。

下の表の右側のいずれかの値を使用して、ドメインを検証できます。

名前	タイプ	値
`_<random value>.example.com.`	CNAME	`_<random value>.acm-validations.aws.`
`_<random value>.example.com.`	CNAME	`<random value>.acm-validations.aws.`

DNS プロバイダーによって追加されたデフォルトの末尾のピリオド

一部の DNS プロバイダーは、デフォルトで、指定した CNAME 値に末尾のピリオドを追加します。その結果、自分でピリオドを追加するとエラーが発生します。たとえば、「<random_value>.acm-validations.aws.」は拒否されますが、「<random_value>.acm-validations.aws」は受け入れられます。

DNS GoDaddy 検証が失敗する

Godaddy およびその他のレジストリに登録されているドメインの DNS 検証は、ACM が提供している CNAME 値を変更しない限り、失敗することがあります。たとえば example.com をドメイン名として使用している場合、発行される CNAME レコードは次の形式になります。


NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

次のように NAME フィールドの末尾にある apex ドメイン (ピリオドを含む) GoDaddy を切り捨てることで、と互換性のある CNAME レコードを作成できます。


NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

ACM コンソールで [Create record in Route 53] ボタンが表示されない

DNS プロバイダーとして Amazon Route 53 を選択した場合は、Amazon Route 53 AWS Certificate Manager と直接やり取りしてドメインの所有権を検証できます。状況によっては、予想に反してコンソールの [Create records in Route 53] ボタンが利用できない場合があります。このような場合には以下の原因が考えられますので、確認してください。

DNS プロバイダーとして Route 53 を使用していない。
さまざまなアカウントを通じて ACM および Route 53 にログインしている。
Route 53 によりホストされるゾーンでレコードを作成する IAM アクセス許可を持っていない。
ユーザーまたは第三者によりすでにドメインが検証されている。
ドメインがパブリックにアドレス解決できない。

プライベート (信頼されていない) ドメインで Route 53 検証が失敗する

DNS 検証中に、ACM はパブリックホストゾーンで CNAME を検索します。見つからなかった場合、72 時間後にタイムアウトし、[検証タイムアウト] ステータスになります。プライベート PKI 内の信頼されていないドメインなどの Amazon VPC プライベートホストゾーンまたは自己署名証明書では、それを使用して DNS レコードをホストすることはできません。

AWS AWS Private CAこのサービスを通じて、公に信頼されていないドメインをサポートしている。

検証は成功するが、発行または更新は失敗する

DNS が正しいにもかかわらず、証明書の発行が「検証保留中」で失敗した場合は、CAA レコードによって発行がブロックされていないことを確認します。詳細については、「(オプション) CAA レコードの設定」を参照してください。

VPN で DNS サーバーの検証が失敗する

VPN で DNS サーバーを検索し、ACM がそのサーバーに対して証明書の検証に失敗した場合は、サーバーがパブリックにアクセスできるかどうかを確認します。ACM DNS 検証を使用したパブリック証明書の発行では、ドメインレコードがパブリックインターネット経由で解決可能であることが必要です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

証明書の検証

E メール検証