Pourquoi ne reçois-je pas d'e-mails de validation lorsque j'utilise ACM pour émettre ou renouveler un certificat ?

Lecture de 5 minute(s)

Pourquoi n'ai-je pas reçu l'e-mail de validation pour émettre ou renouveler des certificats AWS Certificate Manager (ACM) ?

Brève description

ACM envoie les e-mails de validation aux cinq adresses système courantes tant qu'il existe un enregistrement MX pour le domaine. Pour obtenir la liste des adresses e-mail par défaut, consultez enregistrement MX.

ACM envoie également un e-mail de validation de domaine aux adresses e-mail associées aux champs de contact inscrit, technique et administratif de la liste WHOIS. Pour plus d'informations, consultez la section valider la propriété du domaine par e-mail.

Certains bureaux d'enregistrement de domaine ne renseignent pas les informations de contact dans les données WHOIS. La création ou le renouvellement de votre certificat ACM peut être affecté dans les cas suivants :

Votre bureau d'enregistrement de domaine n'inclut pas les adresses e-mail de contact dans les données WHOIS.
Vous utilisez des adresses e-mail personnalisées dans WHOIS pour la validation de certificat.

La recherche WHOIS de validation d'e-mail est effectuée sur le domaine apex et consiste à rechercher les adresses e-mail dans les champs des contacts inscrit, technique et administratif. Vérifiez vos adresses e-mail répertoriées à l'aide d'une requête WHOIS. Pour plus d'informations, consultez Activation ou désactivation de la protection de la confidentialité pour les informations de contact pour un domaine. Si la protection de la vie privée est activée sur votre domaine, il est possible que vous ne receviez pas de réponse ou que vous receviez une réponse similaire à ce qui suit :

Registrant Contact
Name: Data Protected Data Protected
Organization: Data Protected
Mailing Address: 123 Data Protected, Toronto ON M6K 3M1 CA
Phone: +1.0000000000
Ext:
Fax: +1.0000000000
Fax Ext:
Email:noreply@data-protected.net

Remarque :

ACM n'est pas compatible avec CAPTCHA. ACM peut ne pas trouver les données WHOIS configurées avec un texte CAPTCHA.
AWS ne contrôle pas les données WHOIS et ne peut pas empêcher la limitation du serveur WHOIS. Pour plus d'informations, consultez limitation WHOIS.

Solution

Deux options sont disponibles, selon votre préférence et l'effort nécessaire à la conservation ou au basculement.

Vous ne pouvez pas convertir une méthode de validation de certificat ACM par e-mail vers une validation DNS ou inversement. Pour changer de méthode de validation, vous devez demander un nouveau certificat ACM qui remplacera le précédent.
Si vous recevez des erreurs lors de l'exécution de commandes AWS Command Line Interface (AWS CLI), assurez-vous d'utiliser la version la plus récente d'AWS CLI.

Option 1 - utiliser l'e-mail

Vérifiez le certificat de votre domaine pour vérifier les adresses e-mail.

Ouvrez la console ACM, puis sélectionnez Lister les certificats.
Choisissez le certificat que vous souhaitez renouveler.
Dans Domaines, notez le champ Propriétaires enregistrés. Les propriétaires enregistrés sont généralement admin@, administrator@, hostmaster@, postmaster@, webmaster@.

Si les cinq adresses e-mail système ne sont pas répertoriées, vérifiez que le domaine possède au moins un enregistrement MX valide à l'aide des commandes suivantes :

Linux et macOS

$dig mx example.com

Windows

$nslookup -q=mx example.com

Les e-mails de validation sont envoyés aux serveurs de messagerie indiqués dans l'enregistrement MX.

;; ANSWER SECTION:
example.com.             599     IN      MX      10 mail1.example.com.
example.com.             599     IN      MX      20 mail2.example.com.

Vous pouvez également utiliser Amazon Simple Email Service (Amazon SES) et Amazon Simple Notification Service (Amazon SNS) pour recevoir un e-mail de validation ACM si :

Vous n'avez pas d'enregistrement MX
Votre bureau d'enregistrement de domaine ne prend pas en charge le transfert d'e-mails.

Suivez les instructions pour renvoyer l'e-mail de validation à l'aide d'AWS Management Console ou de l'interface de ligne de commande AWS.

Pour plus d'informations, consultez la section Résolution des problèmes de validation d’e-mail.

Option 2 - utiliser DNS

Pour basculer vers la validation DNS, recréez le certificat ACM, puis sélectionnez DNS pour la validation. La validation DNS présente plusieurs avantages par rapport à la validation par e-mail, particulièrement si Amazon Route 53 est le fournisseur DNS pour votre domaine.

DNS nécessite la création d'un enregistrement CNAME par nom de domaine, utilisé uniquement pour la demande de certificat ACM. La validation par e-mail envoie jusqu'à huit e-mails par nom de domaine.
Vous pouvez demander des certificats ACM supplémentaires pour votre nom de domaine complet si l'enregistrement DNS est en cours d'utilisation.
ACM renouvelle automatiquement les certificats que vous avez validés en utilisant DNS. ACM renouvelle chaque certificat avant qu'il n'expire si le certificat et l'enregistrement DNS sont en cours d'utilisation.
ACM peut ajouter l'enregistrement CNAME pour vous si vous utilisez Route 53 pour gérer vos enregistrements DNS publics.
Le processus automatisé de validation DNS est moins complexe que le processus de validation par e-mail.
Vous pouvez basculer vers la validation DNS sans frais supplémentaires.

Les services intégrés à AWS Certificate Manager à l'aide du certificat ACM précédent doivent être mis à jour pour utiliser le nouveau certificat. Cela est dû au fait que les nouveaux certificats ACM génèrent un ARN (Amazon Resource Name). Vous ne pouvez pas conserver l'ARN avec un nouveau certificat ACM. Seuls les certificats ACM renouvelés conservent le même ARN.

Vous pouvez définir la région pour un certificat ACM en exécutant la commande de l'interface de ligne de commande AWS describe-certificate similaire à la suivante :

$aws acm describe-certificate --certificate-arn arn:aws:acm:region:12345678911:certificate/123456-1234-1234-1234-123456789 --output text |grep INUSEBY

Pour plus d'informations, consultez Validation DNS.