¿Cómo puedo validar los certificados de ACM desde Route 53?

5 minutos de lectura
0

Quiero validar los certificados de AWS Certificate Manager (ACM) desde Amazon Route 53.

Descripción breve

Hay dos formas de validar la propiedad del dominio de un certificado de ACM:

  1. Validación por DNS
  2. Validación por correo electrónico

Cuando utiliza la validación de DNS para solicitar un certificado de ACM, debe añadir a la configuración de DNS un registro CNAME proporcionado por ACM. ACM utiliza el registro CNAME para validar la propiedad de los dominios. Una vez que ACM valida la propiedad del dominio, el estado del certificado pasa de Pendiente de validación a Emitido.

Resolución

Nota: Si recibe errores al ejecutar los comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de la AWS CLI.

Si Route 53 es el proveedor de servicios de DNS de su dominio, puede utilizar una opción de un solo clic en la consola de ACM para crear el CNAME. Al seleccionar esta opción, ACM añade automáticamente el registro a la zona alojada de Route 53 del dominio.

Sin embargo, si se da alguno de los siguientes casos, debe añadir los registros CNAME manualmente:

  • Tiene varias zonas alojadas para el mismo dominio.
  • Su zona alojada está en una cuenta diferente.

Solicitudes de certificados de dominio raíz

Determinar el registro del servidor de nombres (NS)

1.    Para buscar la configuración de DNS para la zona alojada adecuada, ejecute el siguiente comando:

Para Linux y macOS:

$ dig NS example.com

Para Windows:

$ nslookup -type=ns example.com

Nota: Sustituya example.com por su nombre de dominio.

2.    Este comando proporciona los servidores de nombres incluidos en el registro del servidor de nombres (NS) de la configuración de DNS del dominio. Añada el registro CNAME a la zona alojada de Route 53 que tenga el mismo registro de NS que los servidores de nombres de la salida.

Este es un ejemplo de salida:

$ dig example.com NS
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> example.com
NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56071
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;example.com. IN NS

;; ANSWER SECTION:
example.com. 300 IN NS ns-199x.awsdns-xx.co.uk.
example.com. 300 IN NS ns-29x.awsdns-xx.com.
example.com. 300 IN NS ns-54x.awsdns-xx.net.
example.com. 300 IN NS ns-120x.awsdns-xx.org.

Añadir registros CNAME en Route 53

Después de identificar la zona alojada adecuada mediante los valores de NS, añada su registro CNAME:

1.    Abra la consola de Route 53.

2.    Navegue hasta la zona alojada de su dominio. Esta zona alojada debe tener el mismo registro de NS que los servidores de nombres que identificó en la tarea anterior.

3.    Elija Crear registro.

4.    En Nombre, introduzca el Nombre de registro del CNAME que generó ACM, sin incluir la parte del dominio. Para obtener más información, consulte Cómo funcionan los registros CNAME de ACM.

5.    En Valor, introduzca el Valor de registro completo que proporcionó ACM.

6.    En Tipo de registro, elija CNAME: enrutamiento del tráfico a otro nombre de dominio y a algunos recursos de AWS.

7.    En Política de ruta, elija Enrutamiento sencillo.

8.    Elija Crear registros.

Comprobar la resolución del registro CNAME

Para confirmar que Route 53 añadió el registro CNAME a su configuración de DNS, ejecute un comando similar al de los siguientes ejemplos:

Para Linux y macOS:

dig +short _example-cname.example.com

Para Windows:

nslookup -type=cname _example-cname.example.com

Nota: Reemplace example-cname.example.com por su registro CNAME de ACM.

Si ha añadido y propagado correctamente el registro CNAME, el comando devuelve el valor del registro CNAME en la salida.

Solicitudes de certificados de subdominio

Hay una zona alojada independiente para el subdominio

Siga los pasos descritos anteriormente para las solicitudes de certificados de dominio raíz e identifique el registro de NS del subdominio. Para ello, sustituya el nombre del dominio por el subdominio en el comando.

Si recibe una salida con valores de NS, añada los registros CNAME en la zona alojada del subdominio para que coincidan con los valores de NS de la salida.

Si no recibe los registros de NS después de ejecutar el comando, compruebe que haya configurado correctamente la delegación de subdominios entre su dominio raíz y el subdominio. Para ello, cree un registro de recursos con el registro de NS del subdominio en la zona alojada del dominio raíz. Para obtener más información, consulte ¿Cómo creo un subdominio para un dominio alojado mediante Route 53?

No hay una zona alojada independiente para el subdominio

Si no hay una zona alojada independiente para el subdominio, añada los registros CNAME en la zona alojada del dominio raíz. A continuación, siga los pasos descritos anteriormente para las solicitudes de certificados de dominio raíz a fin de comprobar que el registro CNAME se resuelva según lo esperado.

Nota: Si hay cambios recientes en la configuración de DNS, es posible que experimente retrasos de propagación en función de los valores de TTL.

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 10 meses