解决方法
----------

第三方 SSL 提供商要求域所有者创建 DNS 记录来验证域所有权。要创建 DNS 记录，请完成下列步骤。

**注意：**如果您有 Amazon Certificate Manager 提供的 SSL，则[使用 DNS 来验证您的域所有权](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-validate-dns.html)。如果您没有修改 DNS 记录的权限，请[使用电子邮件验证您的域所有权](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-validate-email.html)。

1. 打开 [Route 53 控制台](https://console.aws.amazon.com/route53)。
2. 选择**托管区**。
3. 选择您的域名，然后选择**转到记录集**。
4. 选择**创建记录集**。
5. 对于**记录名称**，请输入 SSL 提供商提供的验证记录的唯一 DNS 名称。  
   **注意：**如果 SSL 提供商要求您在域的根目录 ([example.com](http://example.com)) 创建记录，则将**记录名称**字段留空。但是，对于 **CNAME** 验证记录，您不能将此字段留为黑色。
6. 对于**类型**，请选择 SSL 提供商验证所需的记录类型。通常，类型为 TXT 或 CNAME。
7. 在**值**字段中，输入您从 SSL 提供商收到的值。
8. 选择**创建**。

在创建记录后，检查您的 CNAME 解析是否正确。要检查记录，请使用任何 DNS 记录查找工具，例如 dig 或 nslookup：

```plaintext
$ dig CNAME _test.example.com
$ nslookup _test.example.com -type=CNAME
```

如果 DNS 查找返回了验证记录的正确值，则 Route 53 已成功传播 CNAME 记录。您的 SSL 提供商可以解析验证记录并为该域颁发您的 SSL 证书。

解析记录后收到证书的时间取决于您的 SSL 提供商系统。对于某些第三方提供商，最多可能需要 72 小时才能收到 SSL 证书。

相关信息
-------------------

[DNS 验证](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-validate-dns.html)

我在 Amazon Route 53 上托管域。但是，第三方 SSL 提供商无法验证我的域所有权，因此无法颁发 SSL 证书。

通过第三方 SSL 提供商验证 Route 53 域所有权

为什么我的第三方 SSL 提供商无法验证我的 Route 53 域所有权？

网络和内容交付

如何解决我的 API Gateway 自定义域名的 DNS 解析或 SSL 证书不匹配错误？

如何确定我对 Amazon 提供的 DNS 服务器的 DNS 查询是否由于 VPC DNS 节流而失败？

为什么我的第三方 SSL 提供商无法验证我的 Route 53 域所有权？

解决方法

相关信息

相关内容