為什麼我透過 ACM 發行的憑證的 CNAME 紀錄無法解析,且 DNS 驗證狀態仍顯示「等待驗證」?

2 分的閱讀內容
0

我使用了 DNS 驗證的方式向 AWS Certificate Manager (ACM) 申請了我的網域的新憑證。然而,CNAME 紀錄未解析,狀態仍為「等待驗證」。

簡短說明

DNS 驗證的憑證請求可能因為以下原因而停留在等待驗證狀態:

  • 您沒有將 CNAME 紀錄新增到正確的 DNS 組態中。
  • CNAME 紀錄包含額外的字元或缺少字元。
  • 您已將 CNAME 紀錄新增到正確的 DNS 組態中,但 DNS 供應商自動在其 DNS 紀錄末尾新增了裸網域。
  • 相同網域名稱的 CNAME 紀錄和 TXT 紀錄同時存在。

**注意:**ACM 會定期檢查 DNS 紀錄。您無法自行檢查 DNS 紀錄。

如需詳細資訊,請參閱 AWS Certificate Manager DNS 驗證

解決方法

注意: 在您的機器終端機中執行 Linux 和 macOS 指令。或者,在 PowerShell 或 cmd 中執行 Windows 指令。

您沒有將 CNAME 紀錄新增到正確的 DNS 組態中

若要檢查您是否將 CNAME 紀錄新增到正確的 DNS 組態中,請執行下列指令:

**注意:**使用您的 ACM CNAME 記錄取代 example-cname.example.com

Linux 和 macOS:

dig +short _example-cname.example.com

Windows:

nslookup -type=cname _example-cname.example.com

如果您將 CNAME 紀錄新增到正確的 DNS 組態中且該紀錄已傳播完成,那麼指令輸出將包含 CNAME 紀錄的值。

注意: 某些 DNS 供應商可能需要 24-48 小時來傳播 DNS 紀錄。

如果先前的指令沒有回傳輸出結果,那麼請將 CNAME 紀錄新增到正確的 DNS 組態中。若要判斷您必須將 CNAME 紀錄新增到正確的 DNS 組態中,請執行下列指令:

Linux 和 macOS:

dig NS example.com

Windows:

nslookup -type=ns example.com

指令的輸出提供了正確 DNS 組態中 NS 紀錄所包含的名稱伺服器。確認您新增 CNAME 紀錄的 DNS 組態包含這些名稱伺服器的 NS 紀錄。

有關如何將 CNAME 紀錄新增到您的 Amazon Route 53 的託管區域,請參閱使用 Amazon Route 53 Console 建立紀錄

注意: 當 CNAME 紀錄位於 Route 53 私有託管區域時,您無法驗證網域所有權。CNAME 紀錄必須位於公有託管區域中。

CNAME 紀錄是否包含額外字元或缺少字元

如果 CNAME 紀錄包含額外字元,請移除它們。如果名稱或值中缺少字元,請將它補上。

您已將 CNAME 紀錄新增到正確的 DNS 組態中,但 DNS 供應商自動在其 DNS 紀錄末尾新增了裸網域

有些 DNS 供應商可能會自動將裸網域新增至所有 DNS 紀錄的名稱欄位結尾。傳播的 CNAME 紀錄類似如下:

_example-cname.example.com.example.com

因為 CNAME 紀錄名稱與 ACM 提供的名稱不符,因此驗證不成功。ACM 憑證會保持在等待驗證狀態,直到在請求後 72 小時失敗後為止。

要確定您的 DNS 供應商是否自動將裸網域新增至 CNAME 紀錄的末尾,請執行下列指令:

Linux 和 macOS:

dig +short _example-cname.example.com.example.com

Windows:

nslookup -type=cname _example-cname.example.com.example.com

如果輸出傳回 CNAME 紀錄的值,則您的 DNS 提供者已新增裸網域。

要解決此問題,請編輯您的 CNAME 紀錄,以從您為名稱欄位輸入的文字中移除裸網域。

當你的 DNS 供應商加入裸域名後,最終結果只會有一個裸域名。

相同網域名稱的 CNAME 紀錄和 TXT 紀錄同時存在

若要檢查相同網域的 CNAME 紀錄和 TXT 紀錄是否存在,請執行下列指令:

Linux 和 macOS:

dig +short CNAME cname_record_name
dig TXT cname_record_name

Windows:

nslookup -type=CNAME cname_record_name
nslookup -type=TXT cname_record_name

比較指令輸出中的 CNAME 紀錄和 TXT 紀錄類型。如果它們是相同的,那麼格式錯誤的紀錄將保持憑證停留在等待驗證狀態。若要解決此問題,請刪除 TXT 紀錄。

如需詳細資訊,請參閱 DNS 驗證問題故障診斷

相關資訊

受管憑證續約狀態故障診斷

為什麼我使用 ACM 受管續約程序來更新網域名稱後,我的 ACM 憑證續約狀態仍然顯示「等待驗證」?

設定 DNS 驗證

AWS 官方
AWS 官方已更新 1 個月前