Come posso convalidare i certificati ACM da Route 53?

5 minuti di lettura
0

Desidero convalidare i certificati AWS Certificate Manager (ACM) di Amazon Route 53.

Breve descrizione

Esistono due modi per convalidare la proprietà del dominio per un certificato ACM:

  1. Convalida tramite DNS
  2. Convalida tramite e-mail

Quando si utilizza la convalida tramite DNS per richiedere un certificato ACM, ACM fornisce un record CNAME che è necessario aggiungere alla configurazione DNS. ACM utilizza il record CNAME per convalidare la proprietà dei domini. Dopo che ACM ha convalidato la proprietà del dominio, lo stato del certificato viene aggiornato da In attesa di convalida a Emesso.

Risoluzione

Nota: se vengono visualizzati errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente dell'interfaccia della linea di comando AWS.

Se Route 53 è il provider di servizi DNS del tuo dominio, puoi utilizzare un'opzione con un clic nella console ACM per creare il CNAME. Quando si seleziona questa opzione, ACM aggiunge automaticamente il record alla zona ospitata Route 53 del dominio.

Tuttavia, se uno dei seguenti casi è vero, è necessario aggiungere i record CNAME manualmente:

  • Hai più zone ospitate per lo stesso dominio.
  • La tua zona ospitata si trova in un altro account.

Richieste di certificati di dominio Apex

Determinare il record del name server (NS)

1.    Per trovare la configurazione DNS per la zona ospitata appropriata, esegui il seguente comando:

Per Linux e macOS:

$ dig NS example.com

Per Windows:

$ nslookup -type=ns example.com

Nota: sostituisci example.com con il tuo nome di dominio.

2.    Questo comando fornisce i name server inclusi nel record del name server (NS) della configurazione DNS del dominio. Aggiungi il record CNAME alla zona ospitata della Route 53 che ha lo stesso record NS dei name server nell'output.

Ecco un esempio di output:

$ dig example.com NS
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> example.com
NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56071
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;example.com. IN NS

;; ANSWER SECTION:
example.com. 300 IN NS ns-199x.awsdns-xx.co.uk.
example.com. 300 IN NS ns-29x.awsdns-xx.com.
example.com. 300 IN NS ns-54x.awsdns-xx.net.
example.com. 300 IN NS ns-120x.awsdns-xx.org.

Aggiungi record CNAME in Route 53

Dopo aver identificato la zona ospitata appropriata utilizzando i valori NS, aggiungici il tuo record CNAME:

1.    Apri la console Route 53.

2.    Accedi alla zona ospitata del tuo dominio. Questa zona ospitata deve avere lo stesso record NS dei name server identificati nell'operazione precedente.

3.    Scegli Crea record.

4.    In Nome, inserisci il Nome del record del CNAME generato da ACM, esclusa la parte relativa al dominio. Per ulteriori informazioni, consulta Come funzionano i record CNAME per ACM.

5.    In Valore, inserisci il Valore record completo fornito da ACM.

6.    Per il Tipo di record, scegli CNAME: indirizza il traffico verso un altro nome di dominio e verso alcune risorse AWS.

7.    Per la Politica di routing, scegli Routing semplice.

8.    Scegli Crea record.

Verifica la risoluzione del record CNAME

Per confermare che Route 53 ha aggiunto il record CNAME alla tua configurazione DNS, esegui un comando simile ai seguenti esempi:

Per Linux e macOS:

dig +short _example-cname.example.com

Per Windows:

nslookup -type=cname _example-cname.example.com

Nota: sostituisci example-cname.example.com con il tuo record CNAME ACM.

Se hai aggiunto e propagato correttamente il record CNAME, il comando restituisce il valore del record CNAME nell'output.

Richieste di certificati di sottodominio

Disponi di una zona ospitata separata per il tuo sottodominio

Segui i passaggi descritti in precedenza per le richieste di certificati di dominio apex e identifica il record NS del sottodominio. Per fare ciò, sostituisci il nome del dominio con il sottodominio nel comando.

Se ricevi un output con valori NS, aggiungi i record CNAME nella zona ospitata del sottodominio in modo che corrispondano ai valori NS dell'output.

Se non ricevi i record NS dopo aver eseguito il comando, verifica di aver configurato correttamente la delega del sottodominio tra il dominio apex e il sottodominio. Per fare ciò, crea un record di risorse con il record NS del sottodominio nella zona ospitata del dominio apex. Per ulteriori informazioni, vedi Come si crea un sottodominio per un dominio ospitato tramite Route 53?

Non hai una zona ospitata separata per il tuo sottodominio

Se non esiste una zona ospitata separata per il sottodominio, aggiungi i record CNAME nella zona ospitata del dominio apex. Quindi, utilizza i passaggi descritti in precedenza per le richieste di certificati di dominio apex per verificare che il record CNAME si risolva come previsto.

Nota: Se sono state apportate modifiche recenti alla configurazione DNS, potrebbero verificarsi ritardi di propagazione in base ai valori TTL.

AWS UFFICIALE
AWS UFFICIALEAggiornata 10 mesi fa