排查 DNS 验证问题 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

排查 DNS 验证问题

如果在使用 DNS 验证证书时遇到问题,请参阅以下指南。

提示

DNS 问题排查的第一步是使用以下所示工具检查域的当前状态:

DNS 提供商禁用下划线

如果您的 DNS 提供商禁止在别名记录值中使用前导下划线,您可以删除 ACM 提供的值内的下划线,并在没有该下划线的情况下验证域。例如,为了进行验证,可将别名记录值 _x2.acm-validations.aws 可更改为 x2.acm-validations.aws。但是,别名记录名称参数必须始终以前导下划线开始。

您可以使用下表右侧两个值中的任意一个来验证域。

名称

类型

_<random value>.example.com.

别名记录

_<random value>.acm-validations.aws.

_<random value>.example.com.

别名记录

<random value>.acm-validations.aws.

DNS 提供商添加的默认尾部句点

预设情况下,某些 DNS 提供商会向您提供的别名记录值添加尾部句点。因此,您自己添加句点可能会导致错误。例如,“<random_value>.acm-validations.aws.”将被拒绝,而“<random_value>.acm-validations.aws”将被接受。

GoDaddy 上的 DNS 验证失败

除非您修改 ACM 提供的别名记录值,否则注册到 Godaddy 和其他注册管理机构的域名的 DNS 验证可能会失败。以 .com 域名为例,发布的 CNAME 记录格式如下:

NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

您可以通过截断“NAME (名称)”字段末尾的顶点域(包括句点),创建与 GoDaddy 兼容的 CNAME 记录,如下所示:

NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.

排查 .IO 顶级域的问题

.IO 顶级域已分配给英属印度洋领地。目前,域注册表不会显示 WHOIS 数据库中您的公有信息。无论您是启用还是禁用域的隐私保护,都是如此。当执行 WHOIS 查找时,仅返回模糊注册商信息。因此,ACM 无法向 WHOIS 中通常提供的以下三个注册联系人地址发送验证电子邮件。

  • 域注册者

  • 技术联系人

  • 管理联系人

但是,ACM 确实将验证电子邮件发送到以下五个常见系统地址,其中 your_domain 是您最初请求证书时输入的域名,而 .io 是顶级域。

  • administrator@your_domain.io

  • hostmaster@your_domain.io

  • postmaster@your_domain.io

  • webmaster@your_domain.io

  • admin@your_domain.io

要接收 .IO 域的验证邮件,请确保启用了上述五个电子邮件账户之一。如果没有启用,您不会收到验证电子邮件,并且不会向您颁发 ACM 证书。

注意

建议使用 DNS 验证而不是电子邮件验证。有关更多信息,请参阅 DNS 验证

ACM 控制台不显示“Create record in Route 53”(在 Route 53 中创建记录)按钮

如果您选择 Amazon Route 53 作为您的 DNS 提供商,Amazon Certificate Manager 可以直接与其交互来验证您的域所有权。在某些情况下,控制台的 Create record in Route 53(在 Route 53 中创建记录)按钮可能未按预期可用。如果发生这种情况,请检查以下可能原因。

  • 验证页面上,您没有单击域名旁边的向下箭头。

  • 您没有使用 Route 53 作为您的 DNS 提供商。

  • 您使用不同账户登录 ACM 和 Route 53。

  • 您缺少在 Route 53 托管的区域中创建记录的 IAM 权限。

  • 您或其他人已验证该域。

  • 该域不可公开寻址。

私有(不受信任)域上的 Route 53 验证失败

Route 53 仅是一项公有 DNS 服务。在 DNS 验证过程中,ACM 在公有托管区域中搜索别名记录。如果没有找到,则在 72 小时后超时,状态为 Validation timed out (验证超时)。您不能使用它来托管私有域的 DNS 记录,如您的私有 PKI 中的不受信任域或自签名证书。

Amazon 确实通过 ACM 私有 CA服务为公开不受信任的域提供支持。

VPN 上的 DNS 服务器验证失败

如果在 VPN 上找到 DNS 服务器,而 ACM 无法针对该服务器验证证书,请检查该服务器是否可以公开访问。使用 ACM DNS 验证颁发的公有证书要求域记录可以通过公有 Internet 进行解析。