排查 DNS 验证问题 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查 DNS 验证问题

如果在使用 DNS 验证证书时遇到问题,请参阅以下指南。

提示

DNS 问题排查的第一步是使用以下所示工具检查域的当前状态:

DNS 提供商禁止的下划线

如果您的 DNS 提供商禁止在别名记录中使用前导下划线,您可以删除 ACM 提供的值内的下划线,并在没有该下划线的情况下验证域。例如,为了进行验证,可将别名记录值 _x2.acm-validations.aws 可更改为 x2.acm-validations.aws。但是,别名记录名称参数必须始终以前导下划线开始。

您可以使用下表右侧两个值中的任意一个来验证域。

名称

Type

_<random value>.example.com.

别名记录

_<random value>.acm-validations.aws.

_<random value>.example.com.

别名记录

<random value>.acm-validations.aws.

DNS 提供商添加的默认尾随期间

默认情况下,某些 DNS 提供商会向您提供的 CNAME 值添加尾部句点。因此,添加句点会导致错误。例如,“<random_value>.acm-validations.aws.”在接受“<random_value>.acm-validations.aws”时被拒绝。

GoDaddy 上的 DNS 验证失败

除非您修改 ACM 提供的 CNAME 值,否则注册到 Godaddy 和其他注册管理机构的域名的 DNS 验证可能会失败。以 .com 域名为例,发布的 CNAME 记录格式如下:

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

您可以通过截断“NAME (名称)”字段末尾的顶点域(包括句点),创建与 GoDaddy 兼容的 CNAME 记录,如下所示:

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

排查 .IO 顶级域的问题

.IO 顶级域将分配给英属印度洋领地。目前,域注册表不会显示 WHOIS 数据库中您的公有信息。无论您是启用还是禁用域的隐私保护,都是如此。当执行 WHOIS 查找时,仅返回模糊注册商信息。因此,ACM 无法向 WHOIS 中通常提供的以下三个注册联系人地址发送验证电子邮件。

  • 域注册者

  • 技术联系人

  • 管理联系人

ACM 但是, 会向以下五个常用系统地址发送验证电子邮件,其中,your_domain 是您在最初请求证书时输入的域名, .io 是顶级域。

  • 管理员@your_domain.io

  • hostmaster@your_domain.io

  • postmaster@your_domain.io

  • Webmaster@your_domain.io

  • admin@your_domain.io

要接收 .IO 域的验证邮件,请确保启用了上述五个电子邮件账户之一。如果没有启用,您将不会收到验证电子邮件,并且不会被颁发 ACM 证书。

注意

建议使用 DNS 验证而不是电子邮件验证。有关更多信息,请参阅选项 1:DNS 验证

ACM 控制台不显示“Create record in Route 53(在 中创建记录)”按钮

如果您选择 Amazon Route 53 作为您的 DNS 提供商,AWS Certificate Manager 可以直接与其交互来验证您的域所有权。在某些情况下,控制台的 Create record in Route 53 (在 Route 53 中创建记录) 按钮可能未按预期可用。如果发生这种情况,请检查以下可能原因。

  • Validation (验证) 页面上,您没有单击域名旁边的向下箭头。

  • 您没有使用 Route 53 作为您的 DNS 提供商。

  • 您使用不同账户登录 ACM 和 Route 53。

  • 您缺少在 IAM 托管的区域中创建记录的 Route 53 权限。

  • 您或其他人已验证该域。

  • 该域不可公开寻址。

Route 53 私有域上的 验证失败

Route 53 仅是一项公共 DNS 服务。您不能使用它来托管私有域的 DNS 记录,就像 ACM Private CA 所支持的那样。在 DNS 验证过程中,ACM 在公共托管区域中搜索 CNAME。如果没有找到,则在 72 小时后超时,状态为 Validation timed out (验证超时)

VPN 上的 DNS 服务器的验证失败

如果您在 VPN 上找到 DNS 服务器ACM,未能针对该服务器验证证书,请检查该服务器是否可公开访问。使用 ACM DNS 验证的公有证书颁发要求域记录可通过公共 Internet 进行解析。