Warum wird der CNAME-Datensatz für mein von ACM ausgestelltes Zertifikat nicht aufgelöst und der DNS-Validierungsstatus bleibt ausstehend?
Ich habe mithilfe der DNS-Validierung ein neues AWS Certificate Manager (ACM)-Zertifikat angefordert. Der CNAME-Datensatz wird jedoch nicht aufgelöst und der Status verbleibt in Validierung ausstehend.
Kurzbeschreibung
Wenn Sie mithilfe der DNS-Validierung ein ACM-Zertifikat anfordern, erhalten Sie von ACM einen CNAME-Datensatz für jeden Domainnamen, der im Domainbereich des Zertifikats angegeben ist. Sie müssen den CNAME-Datensatz zu Ihrer DNS-Konfiguration hinzufügen. ACM verwendet die CNAME-Datensatz, um den Besitz von Domains zu überprüfen. Nachdem alle Domains validiert wurden, wird der Zertifikatsstatus von Validierung ausstehend auf Erfolgreich aktualisiert.
Zertifikatsanfragen, die die DNS-Validierung verwenden, können in folgenden Fällen in Validierung ausstehend verbleiben:
- Der CNAME-Datensatz wurde nicht zur richtigen DNS-Konfiguration hinzugefügt.
- Der CNAME-Datensatz enthält zusätzliche Zeichen oder es fehlen Zeichen.
- Der CNAME-Datensatz wurde zur richtigen DNS-Konfiguration hinzugefügt, der DNS-Anbieter fügt jedoch die bloße Domain automatisch am Ende seiner DNS-Einträge hinzu.
- Ein CNAME-Datensatz und ein TXT-Eintrag existieren für denselben Domainnamen.
**Hinweis:**ACM sucht regelmäßig nach dem DNS-Datensatz. Dieser Vorgang kann nicht manuell überprüft werden.
Weitere Informationen finden Sie unter DNS-Validierung.
Lösung
Der CNAME-Datensatz wurde nicht zur richtigen DNS-Konfiguration hinzugefügt
Führen Sie einen Befehl ähnlich dem folgenden aus, um zu überprüfen, ob der CNAME-Datensatz korrekt zu Ihrer DNS-Konfiguration hinzugefügt wurde:
Hinweis: Ersetzen Sie example-cname.example.com durch Ihren ACM-CNAME-Datensatz.
Linux und macOS:
dig +short _example-cname.example.com
Windows:
nslookup -type=cname _example-cname.example.com
Der Befehl gibt den Wert des CNAME-Datensatzes in der Ausgabe zurück, wenn der CNAME-Datensatz zur richtigen DNS-Konfiguration hinzugefügt und dann erfolgreich propagiert wurde.
Hinweis: Bei einigen DNS-Anbietern kann es 24-48 Stunden dauern, bis DNS-Datensätze weitergegeben werden.
Wenn sich Ihr Zertifikat im Status Validierung ausstehend befindet, überprüfen Sie, ob der von ACM bereitgestellte CNAME-Datensatz zur richtigen DNS-Konfiguration hinzugefügt wurde. Führen Sie einen Befehl ähnlich dem folgenden aus, um die DNS-Konfiguration zum Hinzufügen des CNAME-Datensatzes zu ermitteln:
Linux und macOS:
dig NS example.com
Windows:
nslookup -type=ns example.com
Der Befehl stellt die im NS-Eintrag enthaltenen Namenserver mit der richtigen DNS-Konfiguration bereit. Stellen Sie sicher, dass die DNS-Konfiguration, in der der CNAME-Datensatz hinzugefügt wird, einen NS-Eintrag mit den in der Befehlsausgabe angegebenen Namenservern enthält.
Informationen zum Hinzufügen von CNAME-Datensätzen zu Ihrer gehosteten Zone in Amazon Route 53 finden Sie unter Erstellen von Datensätzen mithilfe der Route 53-Konsole.
Hinweis: Es ist nicht möglich, den Besitz einer Domain zu überprüfen, wenn sich der entsprechende CNAME-Datensatz in einer privaten gehosteten Route 53-Zone befindet. Der CNAME-Datensatz muss sich in einer öffentlich gehosteten Zone befinden.
Der CNAME-Datensatz enthält zusätzliche Zeichen oder es fehlen Zeichen
Stellen Sie sicher, dass der CNAME-Datensatz , der zu Ihrer DNS-Konfiguration hinzugefügt wurde, keine zusätzlichen Zeichen oder keine fehlenden Zeichen im Namen oder Wert enthält.
Der CNAME-Datensatz wird zur richtigen DNS-Konfiguration hinzugefügt, der DNS-Anbieter fügt jedoch die bloße Domain automatisch am Ende seiner DNS-Datensätze hinzu
Einige DNS-Anbieter fügen die bloße Domain möglicherweise automatisch am Ende des Namensfeldes aller DNS-Datensätze hinzu. In diesem Szenario ähnelt der propagierte CNAME-Datensatz, der zu Ihrer DNS-Konfiguration hinzugefügt wurde, dem folgenden:
_example-cname.example.com.example.com
Da der CNAME-Datensatzname nicht mit dem von ACM bereitgestellten übereinstimmt, ist die Überprüfung nicht erfolgreich. Das ACM-Zertifikat verbleibt im Status Validierung ausstehend, bis es 72 Stunden nach Anforderung des Zertifikats fehlschlägt.
Um festzustellen, ob Ihr DNS-Anbieter die bloße Domain automatisch an das Ende des CNAME-Datensatzes hinzugefügt hat, führen Sie einen Befehl ähnlich dem folgenden aus:
Linux und macOS:
dig +short _example-cname.example.com.example.com
Windows:
nslookup -type=cname _example-cname.example.com.example.com
Wenn die Ausgabe den Wert des CNAME-Datensatzes zurückgibt, hat Ihr DNS-Anbieter die bloße Domain hinzugefügt. Die bloße Domain wurde am Ende des Namensfeldes Ihrer DNS-Datensätze hinzugefügt.
Um dieses Problem zu lösen, bearbeiten Sie Ihren CNAME-Datensatz, um die bloße Domain aus dem Text zu entfernen, den Sie für das Namensfeld eingegeben haben.
Nachdem Ihr DNS-Anbieter die bloße Domain hinzugefügt hat, ist nur noch eine blanke Domain vorhanden.
Für denselben Domainnamen existieren ein CNAME-Datensatz und ein TXT-Eintrag
Führen Sie einen Befehl ähnlich dem folgenden aus, um zu überprüfen, ob der CNAME-Datensatz und der TXT-Eintrag für dieselbe Domain existieren:
Linux und macOS:
dig +short CNAME <cname_record_name>
dig TXT <cname_record_name>
Windows:
nslookup -type=CNAME <cname_record_name>
nslookup -type=TXT <cname_record_name>
Vergleichen Sie die Ausgabe des Befehls dig für die Datensatztypen CNAME-Datensatz und TXT. Wenn sie identisch sind, hält ein falsch formatierter Datensatz das Zertifikat im Status Validierung ausstehend, wie im externen Dokument RFC 1034 angegeben. Um dieses Problem zu lösen, können Sie den TXT-Datensatz löschen.
Weitere Informationen finden Sie unter Beheben von DNS-Validierungsproblemen.
Ähnliche Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 9 Monaten
- AWS OFFICIALAktualisiert vor 2 Jahren