Por que o registro CNAME não está sendo resolvido para meu certificado emitido pelo ACM e o status de validação de DNS ainda é Validação pendente?

5 minuto de leitura
0

Solicitei um novo certificado do AWS Certificate Manager (ACM) usando a validação de DNS. No entanto, o registro CNAME não está sendo resolvido e o status ainda é Validação pendente.

Breve descrição

Quando você solicita um certificado do ACM usando a validação de DNS, o ACM fornece um registro CNAME para cada nome de domínio especificado no escopo de domínio do certificado. Você deve adicionar o registro CNAME à sua configuração de DNS. O ACM usa os registros CNAME para validar a propriedade dos domínios. Depois que todos os domínios forem validados, o status do certificado será atualizado de Validação pendente para Êxito.

Solicitações de certificado usando validação de DNS podem permanecer em Validação pendente se:

  • O registro CNAME não é adicionado à configuração correta de DNS.
  • O registro CNAME tem caracteres adicionais ou faltam caracteres.
  • O registro CNAME foi adicionado à configuração correta de DNS, mas o provedor de DNS adiciona automaticamente o domínio vazio ao final dos seus registros DNS.
  • Existem um registro CNAME e um registro TXT para o mesmo nome de domínio.

Observação: o ACM verifica periodicamente o registro DNS. Esse processo não pode ser verificado manualmente.

Para obter mais informações, consulte Validação de DNS.

Resolução

O registro CNAME não é adicionado à configuração correta de DNS

Para confirmar se o registro CNAME foi adicionado corretamente à sua configuração de DNS, execute um comando semelhante ao seguinte:

Observação: substitua example-cname.example.com pelo seu registro CNAME do ACM.

Linux e macOS:

dig +short _example-cname.example.com

Windows:

nslookup -type=cname _example-cname.example.com

o comando retornará o valor do registro CNAME na saída se o registro CNAME tiver sido adicionado à configuração de DNS correta e depois propagado com êxito.

Observação: alguns provedores de DNS podem levar de 24 a 48 horas para propagar registros DNS.

Se seu certificado estiver no estado de Validação pendente, confirme se o registro CNAME fornecido pelo ACM foi adicionado à configuração de DNS correta. Para determinar a configuração de DNS para adicionar o registro CNAME, execute um comando semelhante ao seguinte:

Linux e macOS:

dig NS example.com

Windows:

nslookup -type=ns example.com

o comando fornece os servidores de nomes incluídos no registro NS da configuração de DNS correta. Certifique-se de que a configuração de DNS em que o registro CNAME é adicionado inclua um registro NS com os servidores de nomes fornecidos na saída do comando.

Para obter informações sobre como adicionar registros CNAME à sua zona hospedada do Amazon Route 53, consulte Criar registros usando o console do Route 53.

Observação: não é possível validar a propriedade de um domínio quando o registro CNAME correspondente está em uma zona hospedada privada do Route 53. O registro CNAME deve estar em uma zona hospedada publicamente.

O registro CNAME tem caracteres adicionais ou faltam caracteres

Certifique-se de que o registro CNAME adicionado à sua configuração de DNS não contenha caracteres adicionais ou não tenha caracteres ausentes no nome ou no valor.

O registro CNAME foi adicionado à configuração correta de DNS, mas o provedor de DNS adiciona automaticamente o domínio vazio ao final dos seus registros DNS

Alguns provedores de DNS podem adicionar automaticamente o domínio vazio ao final do campo de nome de todos os registros DNS. Nesse cenário, o registro CNAME propagado adicionado à sua configuração de DNS é semelhante ao seguinte:

_example-cname.example.com.example.com

Como o nome do registro CNAME não corresponde ao fornecido pelo ACM, a validação não é bem-sucedida. O certificado ACM permanece em Validação pendente até finalmente falhar após 72 horas após a solicitação do certificado.

Para determinar se o seu provedor de DNS adicionou automaticamente o domínio vazio ao final do registro CNAME, execute um comando semelhante ao seguinte:

Linux e macOS:

dig +short _example-cname.example.com.example.com

Windows:

nslookup -type=cname _example-cname.example.com.example.com

Se a saída retornar o valor do registro CNAME, significa que seu provedor de DNS adicionou o domínio vazio. O domínio vazio foi adicionado ao final do campo de nome dos seus registros DNS.

Para resolver esse problema, edite seu registro CNAME para remover o domínio vazio do texto que você inseriu para o campo de nome.

Depois que seu provedor de DNS adicionar o domínio vazio, haverá somente um domínio vazio presente.

Existem um registro CNAME e um registro TXT para o mesmo nome de domínio

Para confirmar se o registro CNAME e o registro TXT existem para o mesmo domínio, execute um comando semelhante ao seguinte:

Linux e macOS:

dig +short CNAME <cname_record_name>
dig TXT <cname_record_name>

Windows:

nslookup -type=CNAME <cname_record_name>
nslookup -type=TXT <cname_record_name>

Compare a saída do comando dig para os tipos de registros CNAME e registros TXT. Se forem idênticos, um registro malformado está mantendo o certificado no estado de validação pendente, conforme observado no documento externo RFC 1034. Para resolver isso, você pode excluir o registro TXT.

Para obter mais informações, consulte Solucionar problemas de validação de DNS.


Informações relacionadas

Solução de problemas de renovação gerenciada de certificados

Por que a renovação do meu certificado ainda está pendente depois que eu validei meus nomes de domínio usando o processo de renovação gerenciado pelo ACM?

Configuração da validação de DNS

AWS OFICIAL
AWS OFICIALAtualizada há um ano