Perché il record CNAME non si risolve per il mio certificato emesso da ACM e lo stato di convalida DNS è ancora in attesa di convalida?
Ho richiesto un nuovo certificato Gestione certificati AWS (ACM) utilizzando la convalida DNS. Tuttavia, il record CNAME non si risolve e lo stato è ancora in attesa di convalida.
Breve descrizione
Quando richiedi un certificato ACM utilizzando la convalida DNS, ACM ti fornisce un record CNAME per ogni nome di dominio specificato nell'ambito del dominio del certificato. È necessario aggiungere il record CNAME alla configurazione DNS. ACM utilizza i record CNAME per convalidare la proprietà dei domini. Dopo la convalida di tutti i domini, lo stato del certificato viene aggiornato da Convalida in sospeso a Riuscito.
Le richieste di certificati che utilizzano la convalida DNS potrebbero rimanere in Convalida in sospeso:
- Il record CNAME non viene aggiunto alla configurazione DNS corretta.
- Il record CNAME contiene caratteri aggiuntivi o caratteri mancanti.
- Il record CNAME è stato aggiunto alla configurazione DNS corretta, ma il provider DNS aggiunge automaticamente il dominio semplice alla fine dei suoi record DNS.
- Esistono un record CNAME e un record TXT per lo stesso nome di dominio.
Nota: ACM verifica periodicamente il record DNS. Questo processo non può essere verificato manualmente.
Per ulteriori informazioni, vedi Convalida DNS.
Soluzione
Il record CNAME non viene aggiunto alla configurazione DNS corretta
Per confermare che il record CNAME è stato aggiunto correttamente alla tua configurazione DNS, esegui un comando simile al seguente:
Nota: Sostituisci example-cname.example.com con il tuo record CNAME ACM.
Linux e macOS:
dig +short _example-cname.example.com
Windows:
nslookup -type=cname _example-cname.example.com
Il comando restituisce il valore del record CNAME nell'output se il record CNAME è stato aggiunto alla configurazione DNS corretta e quindi propagato correttamente.
**Nota:**Alcuni provider DNS possono impiegare 24-48 ore per propagare i record DNS.
Se il tuo certificato è nello stato Convalida in sospeso, conferma che il record CNAME fornito da ACM sia stato aggiunto alla configurazione DNS corretta. Per determinare la configurazione DNS allo scopo di aggiungere il record CNAME, esegui un comando simile al seguente:
Linux e macOS:
dig NS example.com
Windows:
nslookup -type=ns example.com
Il comando fornisce i server di nomi inclusi nel record NS della corretta configurazione DNS. Assicurati che la configurazione DNS in cui viene aggiunto il record CNAME includa un record NS con i server di nomi forniti nell'output del comando.
Per informazioni sull'aggiunta di record CNAME alla tua zona ospitata Amazon Route 53, consulta Creating records by using the Route 53 console.
Nota: Non è possibile convalidare la proprietà di un dominio quando il record CNAME corrispondente si trova in una zona ospitata privata di Route 53. Il record CNAME deve trovarsi in una zona ospitata pubblicamente.
Il record CNAME contiene caratteri aggiuntivi o non contiene tutti i caratteri
Assicurati che il record CNAME aggiunto alla tua configurazione DNS non contenga caratteri aggiuntivi o contenga tutti i caratteri necessari nel nome o nel valore.
Il record CNAME viene aggiunto alla configurazione DNS corretta, ma il provider DNS aggiunge automaticamente il dominio semplice alla fine dei suoi record DNS
Alcuni provider DNS potrebbero aggiungere automaticamente il dominio semplice alla fine del campo del nome di tutti i record DNS. In questo scenario, il record CNAME propagato aggiunto alla configurazione DNS è simile al seguente:
_example-cname.example.com.example.com
Poiché il nome del record CNAME non corrisponde a quello fornito da ACM, la convalida non ha esito positivo. Il certificato ACM rimane in Convalida in sospeso fino a quando non fallisce dopo 72 ore dalla richiesta del certificato.
Per determinare se il tuo provider DNS ha aggiunto automaticamente il dominio semplice alla fine del record CNAME, esegui un comando simile al seguente:
Linux e macOS:
dig +short _example-cname.example.com.example.com
Windows:
nslookup -type=cname _example-cname.example.com.example.com
Se l'output restituisce il valore del record CNAME, il tuo provider DNS ha aggiunto il dominio semplice. Il dominio semplice è stato aggiunto alla fine del campo del nome relativo ai tuoi record DNS.
Per risolvere questo problema, modifica il tuo record CNAME in modo da rimuovere il dominio semplice dal testo che hai inserito per il campo del nome.
Dopo che il tuo provider DNS ha aggiunto il dominio semplice, sarà presente un solo dominio semplice.
Esistono un record CNAME e un record TXT per lo stesso nome di dominio
Per confermare se il record CNAME e il record TXT esistono per lo stesso dominio, esegui un comando simile al seguente:
Linux e macOS:
dig +short CNAME <cname_record_name>
dig TXT <cname_record_name>
Windows:
nslookup -type=CNAME <cname_record_name>
nslookup -type=TXT <cname_record_name>
Confronta l'output del comando dig per i tipi di record CNAME e TXT. Se sono identici, un record difettoso mantiene il certificato nello stato di convalida in attesa, come indicato nel documento esterno RFC 1034. Per risolvere questo problema, puoi eliminare il record TXT.
Per ulteriori informazioni, consulta Risoluzione dei problemi di convalida DNS.
Informazioni correlate
Risoluzione dei problemi relativi al rinnovo dei certificati gestiti
Contenuto pertinente
- AWS UFFICIALEAggiornata 5 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 3 anni fa