為什麼 ACM 核發憑證無法解析 CNAME 記錄,且 DNS 驗證仍為待驗證狀態?

2 分的閱讀內容
0

我已請求使用 DNS 驗證的新 AWS Certificate Manager (ACM) 憑證。但是,無法解析 CNAME 記錄,且仍為待驗證狀態。

簡短說明

您使用 DNS 驗證請求 ACM 憑證時,ACM 即會針對在憑證網域範圍中指定的每個網域名稱,給予 CNAME 記錄。您必須將 CNAME 記錄新增至 DNS 組態。ACM 會使用 CNAME 記錄以驗證網域擁有權。驗證所有網域後,憑證狀態即會從待****驗證更新為成功

在下列情況下,使用 DNS 驗證的憑證請求可能會維持為待驗證狀態:

  • CNAME 記錄未新增至正確的 DNS 組態中。
  • CNAME 記錄有額外字元或遺漏字元。
  • CNAME 記錄已新增至正確的 DNS 組態中,但 DNS 提供者會自動將裸網域新增至 DNS 記錄結尾。
  • 相同網域名稱的 CNAME 記錄和 TXT 記錄同時存在。

**注意:**ACM 會定期檢查 DNS 記錄。無法手動檢查此流程。

如需詳細資訊,請參閱 DNS 驗證

解決方法

CNAME 記錄未新增至正確的 DNS 組態

要確認 CNAME 記錄已正確新增至您的 DNS 組態,請執行類似於下列內容的命令:

**注意:**使用您的 ACM CNAME 記錄取代 example-cname.example.com

Linux 和 macOS:

dig +short _example-cname.example.com

Windows:

nslookup -type=cname _example-cname.example.com

如果 CNAME 記錄已新增至 DNS 組態中並傳播成功,命令即會在輸出中傳回 CNAME 記錄的值。

**注意:**有些 DNS 提供者需要 24 至 48 小時以傳播 DNS 記錄。

如果您的憑證處於待驗證狀態,請確認 ACM 提供的 CNAME 記錄已新增至正確的 DNS 組態中。要確定要新增 CNAME 記錄的 DNS 組態,請執行類似於下列內容的命令:

Linux 和 macOS:

dig NS example.com

Windows:

nslookup -type=ns example.com

該命令會提供正確 DNS 組態之 NS 記錄中包含的名稱伺服器。請確定新增 CNAME 記錄的 DNS 組態包含有命令輸出所提供之名稱伺服器的 NS 記錄。

如需將 CNAME 記錄新增至 Amazon Route 53 託管區域的資訊,請參閱使用 Route 53 主控台建立記錄

**注意:**對應的 CNAME 記錄位於 Route 53 私人託管區域時,則無法驗證網域擁有權。CNAME 記錄必須位於公開託管區域中。

CNAME 記錄有額外字元或遺漏字元

請確定新增 DNS 組態的 CNAME 記錄的名稱或值不包含額外字元,或沒有遺漏的字元。

CNAME 記錄已新增至正確的 DNS 組態中,但 DNS 提供者會自動將裸網域新增至 DNS 記錄結尾

有些 DNS 提供者可能會自動將裸網域新增至所有 DNS 記錄的名稱欄位結尾。在此案例中,已傳播並新增至 DNS 組態中的 CNAME 記錄類似於下列內容:

_example-cname.example.com.example.com

因為 CNAME 記錄名稱與 ACM 提供的名稱不符,所以驗證不成功。ACM 憑證會維持為待驗證狀態,直到請求憑證 72 小時後最終失敗為止。

要確定您的 DNS 提供者是否會自動將裸網域新增至 CNAME 記錄的結尾,請執行類似於下列內容的命令:

Linux 和 macOS:

dig +short _example-cname.example.com.example.com

Windows:

nslookup -type=cname _example-cname.example.com.example.com

如果輸出傳回 CNAME 記錄的值,則您的 DNS 提供者已新增裸網域。裸網域已新增至 DNS 記錄的名稱欄位結尾。

要解決此問題,請編輯您的 CNAME 記錄,以從您為名稱欄位輸入的文字中移除裸網域。

您的 DNS 提供者新增裸網域後,則只會有一個裸網域。

相同網域名稱的 CNAME 記錄和 TXT 記錄同時存在

要確認相同網域名稱的 CNAME 記錄和 TXT 記錄是否同時存在,請執行類似於下列內容的命令:

Linux 和 macOS:

dig +short CNAME <cname_record_name>
dig TXT <cname_record_name>

Windows:

nslookup -type=CNAME <cname_record_name>
nslookup -type=TXT <cname_record_name>

比較 CNAME 記錄和 TXT 記錄類型的 dig 命令輸出。如果相同,格式錯誤的記錄即會讓憑證維持為待驗證狀態,如外部文件 RFC 1034 所述。要解決此問題,您可以刪除 TXT 記錄。

如需詳細資訊,請參閱疑難排解 DNS 驗證問題


相關資訊

疑難排解受管憑證續訂

為什麼使用 ACM 受管續訂流程驗證網域名稱後,我的憑證續訂仍未定?

設定 DNS 驗證

AWS 官方
AWS 官方已更新 1 年前