Como posso validar certificados do ACM no Route 53?

5 minuto de leitura
0

Quero validar os certificados do AWS Certificate Manager (ACM) no Amazon Route 53.

Descrição breve

Há duas maneiras de validar a propriedade do domínio para um certificado do ACM:

  1. Validação de DNS
  2. Validação por e-mail

Quando você usa a validação de DNS para solicitar um certificado do ACM, o ACM fornece um registro CNAME que você deve adicionar à sua configuração de DNS. O ACM usa o registro CNAME para validar a propriedade dos domínios. Depois que o ACM validar a propriedade do domínio, o status do certificado é atualizado de Validação pendente para Emitido.

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.

Se o Route 53 for o provedor de serviços de DNS do seu domínio, você poderá usar uma opção de um clique no console do ACM para criar o CNAME. Quando você seleciona essa opção, o ACM adiciona automaticamente o registro à zona hospedada pelo Route 53 do domínio.

No entanto, se um dos seguintes casos for verdadeiro, você deverá adicionar registros CNAME manualmente:

  • Você tem várias zonas hospedadas para o mesmo domínio.
  • Sua zona hospedada está em uma conta diferente.

Solicitações de certificado de domínio Apex

Determinar o registro do servidor de nomes (NS)

1.    Para encontrar a configuração de DNS para a zona hospedada apropriada, execute o seguinte comando:

Para Linux e macOS:

$ dig NS example.com

Para Windows:

$ nslookup -type=ns example.com

Observação: substitua example.com pelo seu nome de domínio.

2.    Esse comando fornece os servidores de nomes que estão incluídos no registro do servidor de nomes (NS) da configuração de DNS do domínio. Adicione o registro CNAME à zona hospedada do Route 53 que tem o mesmo registro NS dos servidores de nomes na sua saída.

Aqui está um exemplo de saída:

$ dig example.com NS
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> example.com
NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56071
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;example.com. IN NS

;; ANSWER SECTION:
example.com. 300 IN NS ns-199x.awsdns-xx.co.uk.
example.com. 300 IN NS ns-29x.awsdns-xx.com.
example.com. 300 IN NS ns-54x.awsdns-xx.net.
example.com. 300 IN NS ns-120x.awsdns-xx.org.

Adicionar registros CNAME no Route 53

Depois de identificar a zona hospedada apropriada usando os valores de NS, adicione seu registro CNAME a ela:

1.    Abra o console do Route 53.

2.    Navegue até a zona hospedada do seu domínio. Essa zona hospedada deve ter o mesmo registro NS dos servidores de nomes que você identificou na tarefa anterior.

3.    Escolha Create record (Criar registro).

4.    Em Name (Nome), insira o Record Name (Nome do registro) do CNAME gerado pelo ACM, excluindo a parte do domínio. Para mais informações, consulte ow CNAME records for ACM work (Como funcionam os registros CNAME do ACM).

5.    Em Value (Valor), insira o Record Value (Valor de registro) completo fornecido pelo ACM.

6.    Em Record type (Tipo de registro), escolha CNAME - Roteia o tráfego para outro nome de domínio e para alguns recursos da AWS.

7.    Em Política de rotas, escolha Roteamento simples.

8.    Escolha Create Records (Criar registros).

Verificar a resolução do registro CNAME

Para confirmar que o Route 53 adicionou o registro CNAME à sua configuração de DNS, execute um comando semelhante aos exemplos a seguir:

Para Linux e macOS:

dig +short _example-cname.example.com

Para Windows:

nslookup -type=cname _example-cname.example.com

Observação: substitua example-cname.example.com pelo seu registro CNAME do ACM.

Se você adicionou e propagou com êxito o registro CNAME, o comando retornará o valor do registro CNAME na saída.

Solicitações de certificado de subdomínio

Você tem uma zona hospedada separada para seu subdomínio

Siga as etapas descritas anteriormente para solicitações de certificado de domínio Apex e identifique o registro NS do subdomínio. Para fazer isso, substitua o nome do domínio pelo subdomínio no comando.

Se você receber uma saída com valores NS, adicione os registros CNAME na zona hospedada do subdomínio para corresponder aos valores NS da saída.

Se você não receber registros NS depois de executar o comando, verifique se configurou corretamente a delegação de subdomínio entre o domínio Apex e o subdomínio. Para fazer isso, crie um registro de recurso com o registro NS do subdomínio na zona hospedada do domínio Apex. Para mais informações, consulte How do I create a subdomain for a domain hosted through Route 53? (Como crio um subdomínio para um domínio hospedado por meio do Route 53?)

Você não tem uma zona hospedada separada para seu subdomínio

Se não houver uma zona hospedada separada para o subdomínio, adicione os registros CNAME na zona hospedada do domínio Apex. Em seguida, use as etapas descritas anteriormente para solicitações de certificado de domínio Apex para verificar se o registro CNAME é resolvido conforme o esperado.

Observação: se houver alterações recentes na configuração do DNS, você poderá enfrentar atrasos na propagação com base nos valores TTL.

AWS OFICIAL
AWS OFICIALAtualizada há 10 meses