Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie kann ich ACM-Zertifikate von Route 53 aus validieren?

Lesedauer: 4 Minute
0

Ich möchte AWS Certificate Manager (ACM)-Zertifikate von Amazon Route 53 validieren.

Kurzbeschreibung

Verwende die DNS-Validierung, um ACM-Zertifikate von Route 53 zu validieren. Um den Domain-Besitz nachzuweisen, füge den von ACM bereitgestellten CNAME-Datensatz zu der DNS-Konfiguration hinzu.

Behebung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Wenn Route 53 der DNS-Serviceanbieter der Domain ist, kannst du eine DNS-Validierung in der ACM-Konsole einrichten, um den CNAME zu erstellen. Wenn du diese Option auswählst, fügt ACM den Datensatz automatisch zur gehosteten Route 53-Zone der Domain hinzu.

Wenn jedoch eines der folgenden Szenarios zutrifft, musst du CNAME-Datensätze manuell hinzufügen:

  • Du hast mehrere gehostete Zonen für dieselbe Domain.
  • Gehostete Zone befindet sich in einem anderen AWS-Konto.

Den NS-Datensatz ermitteln

Um den Nameserver (NS)-Datensatz zu ermitteln, suche zunächst nach der DNS-Konfiguration für die entsprechende gehostete Zone. Führe den folgenden Befehl aus:

Linux und macOS:

$ dig NS example.com

Windows:

$ nslookup -type=ns example.com

Hinweis: Ersetze „example.com“ durch deinen Domain-Namen.

Dieser Befehl stellt die NS-Datensätze der DNS-Konfiguration der Domain bereit.

Füge den CNAME-Datensatz zur gehosteten Route 53-Zone hinzu, die denselben NS-Datensatz wie die Nameserver in der Ausgabe enthält.

Beispielausgabe:

$ dig example.com NS; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> example.comNS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56071
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;example.com. IN NS

;; ANSWER SECTION:
example.com. 300 IN NS ns-199x.awsdns-xx.co.uk.
example.com. 300 IN NS ns-29x.awsdns-xx.com.
example.com. 300 IN NS ns-54x.awsdns-xx.net.
example.com. 300 IN NS ns-120x.awsdns-xx.org.

CNAME-Einträge in Route 53 hinzufügen

Nachdem du die NS-Einträge verwendet hast, um die gehostete Zone zu identifizieren, die du verwenden möchtest, füge ihr den CNAME-Datensatz hinzu. Gehe wie folgt vor:

  1. Öffne die Route-53-Konsole.
  2. Navigiere zur gehosteten Zone der Domain. Diese gehostete Zone muss denselben NS-Eintrag haben wie die NS, die du in der vorherigen Aufgabe identifiziert hast.
  3. Wähle Eintrag erstellen aus.
  4. Gib als Name den Datensatznamen des CNAME ein, den ACM generiert hat, aber ohne den Domain-Teil. Weitere Informationen findest du unter Funktionsweise von CNAME-Datensätzen für ACM.
  5. Gib für Wert den vollständigen Datensatzwert ein, den ACM bereitgestellt hat.
  6. Wähle als Datensatztyp die Option CNAME – Leitet den Verkehr an einen anderen Domainnamen und an einige AWS-Ressourcen weiter.
  7. Wähle für Routing-Richtlinie die Option Einfaches Routing aus.
  8. Wähle Einträge erstellen aus.

Die Auflösung des CNAME-Eintrags

Führe einen Befehl ähnlich dem Folgenden aus, um zu überprüfen, ob Route 53 den CNAME-Datensatz korrekt zu der DNS-Konfiguration hinzugefügt hat:

Linux und macOS:

dig +short _example-cname.example.com

Windows:

nslookup -type=cname _example-cname.example.com

Hinweis: Ersetze „example-cname.example.com“ durch den ACM-CNAME-Datensatz.

Wenn du den CNAME-Datensatz erfolgreich hinzugefügt und propagiert hast, gibt der Befehl den Wert des CNAME-Datensatzes in der Ausgabe zurück.

Subdomain-Zertifikatsanfragen mit und ohne separat gehostete Zone

Gehe wie folgt vor, um Zertifikate für Subdomains mit einer separaten Hosting-Zone anzufordern:

  1. Folge den Schritten im Abschnitt NS-Eintrag ermitteln, um den NS-Eintrag der Subdomain zu identifizieren.
  2. Ersetze im Befehl den Domainnamen durch den Subdomainnamen.
  3. Überprüfe die Befehlsausgabe:
    Wenn du NS-Datensätze erhältst, füge die CNAME-Datensätze in der gehosteten Zone der Subdomain hinzu, damit sie diesen Werten entsprechen.
    Wenn du keine NS-Datensätze erhältst, überprüfe die Subdomain-Delegation.
    Weitere Informationen findest du unter Wie erstelle ich eine Subdomain für meine Domain, die in Route 53 gehostet wird?

Gehe wie folgt vor, um Zertifikate für Subdomains ohne eine separat gehostete Zone anzufordern:

  1. Füge die CNAME-Einträge in der gehosteten Zone der Apex-Domain hinzu. Weitere Informationen findest du unter Lösen von DNS-Zonen-Apex-Problemen mit DNS-Drittanbietern, die AWS verwenden.
  2. Folge den Schritten im Abschnitt Auflösung des CNAME-Datensatzes überprüfen, um sicherzustellen, dass der CNAME-Datensatz korrekt aufgelöst wird.

Hinweis: Wenn die DNS-Konfiguration kürzlich geändert wurde, kann es basierend auf Time to Live (TTL)-Werten zu Verzögerungen bei der Propagierung kommen.

Ähnliche Informationen

Warum lautet der Erneuerungsstatus meines ACM-Zertifikats immer noch „Ausstehende Validierung“, nachdem ich den von ACM verwalteten Erneuerungsprozess für meinen Domainnamen verwendet habe?

Den Amazon Route 53-Aliasdatensatz für die Ziel-DNS konfigurieren

Themen
Networking & Content Delivery
Tags
Amazon Route 53
Sprache
Deutsch
AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt