Wie kann ich ACM-Zertifikate von Route 53 validieren?

Kurzbeschreibung

Es gibt zwei Möglichkeiten, den Domain-Besitz für ein ACM-Zertifikat zu überprüfen:

1. DNS-Validierung
2. E-Mail-Validierung

Wenn Sie die DNS-Validierung verwenden, um ein ACM-Zertifikat anzufordern, stellt ACM einen CNAME-Datensatz bereit, den Sie zu Ihrer DNS-Konfiguration hinzufügen müssen. ACM verwendet den CNAME-Datensatz, um den Besitz von Domains zu überprüfen. Nachdem ACM den Domain-Besitz bestätigt hat, wird der Status des Zertifikats von Ausstehende Validierung in Ausgestellt aktualisiert.

Lösung

Hinweis: Wenn Sie beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI-Version verwenden.

Wenn Route 53 der DNS-Dienstanbieter Ihrer Domain ist, können Sie eine Ein-Klick-Option in der ACM-Konsole verwenden, um den CNAME zu erstellen. Wenn Sie diese Option auswählen, fügt ACM den Datensatz automatisch zur gehosteten Route 53-Zone der Domain hinzu.

Wenn jedoch einer der folgenden Fälle zutrifft, müssen Sie CNAME-Datensätze manuell hinzufügen:

• Sie haben mehrere gehostete Zonen für dieselbe Domain.
• Ihre gehostete Zone befindet sich in einem anderen Konto.

Zertifikatsanforderungen für Apex-Domain

Den Nameserver-Datensatz ermitteln

1.    Führen Sie folgenden Befehl aus, um die DNS-Konfiguration für die entsprechende gehostete Zone zu finden:

Für Linux und macOS:

$ dig NS example.com

Für Windows:

$ nslookup -type=ns example.com

**Hinweis:**Ersetzen Sie example.com durch Ihren Domainnamen.

2.    Dieser Befehl stellt die Nameserver bereit, die im Nameserver-Datensatz der DNS-Konfiguration der Domain enthalten sind. Fügen Sie den CNAME-Datensatz zur gehosteten Route 53-Zone hinzu, die denselben Nameserver-Datensatz wie die Nameserver in Ihrer Ausgabe enthält.

Hier ist ein Beispiel für eine Ausgabe:

$ dig example.com NS
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> example.com
NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56071
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;example.com. IN NS

;; ANSWER SECTION:
example.com. 300 IN NS ns-199x.awsdns-xx.co.uk.
example.com. 300 IN NS ns-29x.awsdns-xx.com.
example.com. 300 IN NS ns-54x.awsdns-xx.net.
example.com. 300 IN NS ns-120x.awsdns-xx.org.

CNAME-Datensätze in Route 53 hinzufügen

Nachdem Sie die entsprechende gehostete Zone anhand der Nameserver-Werte identifiziert haben, fügen Sie ihr Ihren CNAME-Datensatz hinzu:

1.    Öffnen Sie die Route-53-Konsole.

2.    Navigieren Sie zur gehosteten Zone Ihrer Domain. Diese gehostete Zone muss denselben Nameserver-Datensatz haben wie die Nameserver, die Sie in der vorherigen Aufgabe identifiziert haben.

3.    Wählen Sie Create Record (Datensatz erstellen).

4.    Geben Sie für Name den Datensatznamen des von ACM generierten CNAME ein, ohne den Domain-Teil. Weitere Informationen finden Sie unter Funktionsweise von CNAME-Datensätzen für ACM.

5.    Geben Sie für Value (Wert) den vollständigen Datensatzwert ein, den ACM bereitgestellt hat.

6.    Wählen Sie für Record type (Datensatztyp) CNAME - Routes traffic to another domain name and to some AWS resources (CNAME - Leitet Datenverkehr an einen anderen Domainnamen und einige AWS-Ressourcen weiter) aus.

7.    Wählen Sie als Routing policy (Routing-Richtlinie) die Option Simple routing (Einfaches Routing) aus.

8.    Wählen Sie Create records (Datensätze erstellen) aus.

Auflösung des CNAME-Datensatzes überprüfen

Führen Sie einen Befehl ähnlich den folgenden Beispielen aus, um zu überprüfen, ob Route 53 den CNAME-Datensatz korrekt zu Ihrer DNS-Konfiguration hinzugefügt hat:

Für Linux und macOS:

dig +short _example-cname.example.com

Für Windows:

nslookup -type=cname _example-cname.example.com

Hinweis: Ersetzen Sie example-cname.example.com durch Ihren ACM-CNAME-Datensatz.

Wenn Sie den CNAME-Datensatz erfolgreich hinzugefügt und propagiert haben, gibt der Befehl den Wert des CNAME-Datensatzes in der Ausgabe zurück.

Zertifikatsanforderungen für Subdomain

Sie haben eine separate gehostete Zone für Ihre Subdomain

Folgen Sie den zuvor beschriebenen Schritten für Apex-Domain-Zertifikatsanforderungen und identifizieren Sie den Nameserver-Datensatz der Subdomain. Ersetzen Sie dazu im Befehl den Namen der Domain durch die Subdomain.

Wenn Sie eine Ausgabe mit Nameserver-Werten erhalten, fügen Sie die CNAME-Datensätze in der gehosteten Zone der Subdomain hinzu, sodass sie den Nameserver-Werten der Ausgabe entsprechen.

Wenn Sie nach dem Ausführen des Befehls keine Nameserver-Datensätze erhalten, überprüfen Sie, ob Sie die Subdomain-Delegierung zwischen Ihrer Apex-Domain und -Subdomain ordnungsgemäß konfiguriert haben. Erstellen Sie dazu einen Ressourcendatensatz mit dem Nameserver-Datensatz der Subdomain in der gehosteten Zone der Apex-Domain. Weitere Informationen finden Sie unter Wie erstelle ich eine Subdomain für eine über Route 53 gehostete Domain?

Sie haben keine separate gehostete Zone für Ihre Subdomain

Wenn es keine separate gehostete Zone für die Subdomain gibt, fügen Sie die CNAME-Datensätze in die gehostete Zone der Apex-Domain ein. Verwenden Sie dann die zuvor beschriebenen Schritte für Apex-Domain-Zertifikatsanforderungen, um zu überprüfen, ob der CNAME-Datensatz wie erwartet aufgelöst wird.

Hinweis: Wenn die DNS-Konfiguration kürzlich geändert wurde, kann es basierend auf TTL-Werten zu Verzögerungen bei der Propagierung kommen.