Por que o registro CNAME não está sendo resolvido para meu certificado emitido pelo ACM e o status de validação de DNS ainda é Validação pendente?
Solicitei um novo certificado do AWS Certificate Manager (ACM) usando a validação de DNS. No entanto, o registro CNAME não está sendo resolvido e o status ainda é Validação pendente.
Breve descrição
Quando você solicita um certificado do ACM usando a validação de DNS, o ACM fornece um registro CNAME para cada nome de domínio especificado no escopo de domínio do certificado. Você deve adicionar o registro CNAME à sua configuração de DNS. O ACM usa os registros CNAME para validar a propriedade dos domínios. Depois que todos os domínios forem validados, o status do certificado será atualizado de Validação pendente para Êxito.
Solicitações de certificado usando validação de DNS podem permanecer em Validação pendente se:
- O registro CNAME não é adicionado à configuração correta de DNS.
- O registro CNAME tem caracteres adicionais ou faltam caracteres.
- O registro CNAME foi adicionado à configuração correta de DNS, mas o provedor de DNS adiciona automaticamente o domínio vazio ao final dos seus registros DNS.
- Existem um registro CNAME e um registro TXT para o mesmo nome de domínio.
Observação: o ACM verifica periodicamente o registro DNS. Esse processo não pode ser verificado manualmente.
Para obter mais informações, consulte Validação de DNS.
Resolução
O registro CNAME não é adicionado à configuração correta de DNS
Para confirmar se o registro CNAME foi adicionado corretamente à sua configuração de DNS, execute um comando semelhante ao seguinte:
Observação: substitua example-cname.example.com pelo seu registro CNAME do ACM.
Linux e macOS:
dig +short _example-cname.example.com
Windows:
nslookup -type=cname _example-cname.example.com
o comando retornará o valor do registro CNAME na saída se o registro CNAME tiver sido adicionado à configuração de DNS correta e depois propagado com êxito.
Observação: alguns provedores de DNS podem levar de 24 a 48 horas para propagar registros DNS.
Se seu certificado estiver no estado de Validação pendente, confirme se o registro CNAME fornecido pelo ACM foi adicionado à configuração de DNS correta. Para determinar a configuração de DNS para adicionar o registro CNAME, execute um comando semelhante ao seguinte:
Linux e macOS:
dig NS example.com
Windows:
nslookup -type=ns example.com
o comando fornece os servidores de nomes incluídos no registro NS da configuração de DNS correta. Certifique-se de que a configuração de DNS em que o registro CNAME é adicionado inclua um registro NS com os servidores de nomes fornecidos na saída do comando.
Para obter informações sobre como adicionar registros CNAME à sua zona hospedada do Amazon Route 53, consulte Criar registros usando o console do Route 53.
Observação: não é possível validar a propriedade de um domínio quando o registro CNAME correspondente está em uma zona hospedada privada do Route 53. O registro CNAME deve estar em uma zona hospedada publicamente.
O registro CNAME tem caracteres adicionais ou faltam caracteres
Certifique-se de que o registro CNAME adicionado à sua configuração de DNS não contenha caracteres adicionais ou não tenha caracteres ausentes no nome ou no valor.
O registro CNAME foi adicionado à configuração correta de DNS, mas o provedor de DNS adiciona automaticamente o domínio vazio ao final dos seus registros DNS
Alguns provedores de DNS podem adicionar automaticamente o domínio vazio ao final do campo de nome de todos os registros DNS. Nesse cenário, o registro CNAME propagado adicionado à sua configuração de DNS é semelhante ao seguinte:
_example-cname.example.com.example.com
Como o nome do registro CNAME não corresponde ao fornecido pelo ACM, a validação não é bem-sucedida. O certificado ACM permanece em Validação pendente até finalmente falhar após 72 horas após a solicitação do certificado.
Para determinar se o seu provedor de DNS adicionou automaticamente o domínio vazio ao final do registro CNAME, execute um comando semelhante ao seguinte:
Linux e macOS:
dig +short _example-cname.example.com.example.com
Windows:
nslookup -type=cname _example-cname.example.com.example.com
Se a saída retornar o valor do registro CNAME, significa que seu provedor de DNS adicionou o domínio vazio. O domínio vazio foi adicionado ao final do campo de nome dos seus registros DNS.
Para resolver esse problema, edite seu registro CNAME para remover o domínio vazio do texto que você inseriu para o campo de nome.
Depois que seu provedor de DNS adicionar o domínio vazio, haverá somente um domínio vazio presente.
Existem um registro CNAME e um registro TXT para o mesmo nome de domínio
Para confirmar se o registro CNAME e o registro TXT existem para o mesmo domínio, execute um comando semelhante ao seguinte:
Linux e macOS:
dig +short CNAME <cname_record_name>
dig TXT <cname_record_name>
Windows:
nslookup -type=CNAME <cname_record_name>
nslookup -type=TXT <cname_record_name>
Compare a saída do comando dig para os tipos de registros CNAME e registros TXT. Se forem idênticos, um registro malformado está mantendo o certificado no estado de validação pendente, conforme observado no documento externo RFC 1034. Para resolver isso, você pode excluir o registro TXT.
Para obter mais informações, consulte Solucionar problemas de validação de DNS.
Informações relacionadas
Solução de problemas de renovação gerenciada de certificados
Vídeos relacionados
Conteúdo relevante
- AWS OFICIALAtualizada há 4 meses
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos