排查 DNS 验证问题 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查 DNS 验证问题

如果在使用 DNS 验证证书时遇到问题,请参阅以下指南。

提示

DNS 问题排查的第一步是使用以下所示工具检查域的当前状态:

排查认证机构授权 (CAA) 问题

您可以使用 CAA DNS 记录指定 Amazon 证书颁发机构 (CA) 可以为您的域或子域颁发 ACM 证书。如果您在证书颁发期间收到一条错误,显示 One or more domain names have failed validation due to a Certification Authority Authentication (CAA) error,请检查您的 CAA DNS 记录。如果您在成功验证 ACM 证书请求后收到此错误,则必须更新您的 CAA 记录并再次请求证书。您的至少一个 CAA 记录中的字段必须包含以下域名称之一:

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

如果您不希望 ACM 执行 CAA 检查,请勿对您的域配置 CAA 记录或将您的 CAA 记录留空。有关创建 CAA 记录的更多信息,请参阅 (可选)配置 CAA 记录

DNS 提供商禁用下划线

如果您的 DNS 提供商禁止在别名记录中使用前导下划线,您可以删除 ACM 提供的值内的下划线,并在没有该下划线的情况下验证域。例如,为了进行验证,可将别名记录值 _x2.acm-validations.aws 可更改为 x2.acm-validations.aws。但是,别名记录名称参数必须始终以前导下划线开始。

您可以使用下表右侧两个值中的任意一个来验证域。

名称

Type

_<random value>.example.com.

别名记录

_<random value>.acm-validations.aws.

_<random value>.example.com.

别名记录

<random value>.acm-validations.aws.

DNS 提供商添加的默认跟踪期限

默认情况下,某些 DNS 提供商会向您提供的 CNAME 值添加尾部周期。因此,自行添加时间段会导致错误。例如,“<random_value>.acm-validations.aws.”被拒绝,而“<random_value>.acm-validations.aws”被接受。

上的 DNS 验证失败GoDaddy

除非您修改 ACM 提供的 CNAME 值,否则注册到 Godaddy 和其他注册管理机构的域名的 DNS 验证可能会失败。以 .com 域名为例,发布的 CNAME 记录格式如下:

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

您可以通过截断“NAME (名称)”字段末尾的顶级域(包括句点),创建与 GoDaddy 兼容的 CNAME 记录,如下所示:

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

排查 .IO 域的问题

.IO 域已分配给英属印度洋领地。目前,域注册表不会显示 WHOIS 数据库中您的公有信息。无论您是启用还是禁用域的隐私保护,都是如此。当执行 WHOIS 查找时,仅返回模糊注册商信息。因此,ACM 无法向 WHOIS 中通常提供的以下三个注册联系人地址发送验证电子邮件。

  • 域注册者

  • 技术联系人

  • 管理联系人

ACM 会向以下五个常用系统地址发送验证电子邮件,其中 your_domain 是您最初请求证书时输入的域名,.io 是顶级域。

  • 管理员@your_domain.io

  • 托管主@your_domain.io

  • Postmaster@your_domain.io

  • Webmaster@your_domain.io

  • 管理@your_domain.io

要接收 .IO 域的验证邮件,请确保启用了上述五个电子邮件账户之一。如果没有启用,您将不会收到验证电子邮件,并且不会被颁发 ACM 证书。

注意

建议使用 DNS 验证而不是电子邮件验证。有关更多信息,请参阅 使用 DNS 验证域所有权

ACM 控制台不显示“Create record in Route 53 (在 Route 53 中创建记录)”按钮

如果您选择 Amazon Route 53 作为您的 DNS 提供商,AWS Certificate Manager 可以直接与其交互来验证您的域所有权。在某些情况下,控制台的 Create record in Route 53 (在 Route 53 中创建记录) 按钮可能未按预期可用。如果发生这种情况,请检查以下可能原因。

  • 您没有使用 Route 53 作为您的 DNS 提供商。

  • 您使用不同账户登录 ACM 和 Route 53。

  • 您缺少在 Route 53 托管的区域中创建记录的 IAM 权限。

  • 您或其他人已验证该域。

  • 该域不可公开寻址。

私有域上的 Route 53 验证失败

Route 53 仅是一项公共 DNS 服务。您不能使用它来托管私有域的 DNS 记录,就像 ACM Private CA 所支持的那样。在 DNS 验证过程中,ACM 在公共托管区域中搜索 CNAME。如果没有找到,则在 72 小时后超时,状态为 Validation timed out (验证超时)