¿Por qué el registro CNAME no se resuelve para mi certificado emitido por ACM y el estado de validación del DNS sigue siendo «Validación pendiente»?
He solicitado un nuevo certificado de AWS Certificate Manager (ACM) mediante la validación de DNS. Sin embargo, el registro CNAME no se resuelve y el estado sigue siendo «Validación pendiente».
Descripción breve
Cuando solicita un certificado de ACM mediante la validación de DNS, ACM le proporciona un registro CNAME para cada nombre de dominio especificado en el ámbito del dominio del certificado. Debe añadir el registro CNAME a su configuración de DNS. ACM usa los registros CNAME para validar la propiedad de los dominios. Una vez validados todos los dominios, el estado del certificado pasa de Validación pendiente a Correcto.
Las solicitudes de certificados que utilizan la validación de DNS pueden permanecer en Validación pendiente si:
- El registro CNAME no se ha agregado a la configuración DNS correcta.
- El registro CNAME tiene caracteres adicionales o le faltan caracteres.
- El registro CNAME se ha agregado a la configuración DNS correcta, pero el proveedor de DNS agrega automáticamente el dominio básico al final de sus registros DNS.
- Existen un registro CNAME y un registro TXT para el mismo nombre de dominio.
**Nota:**ACM comprueba periódicamente el registro DNS. Este proceso no se puede comprobar manualmente.
Para obtener más información, consulte Validación de DNS.
Resolución
El registro CNAME no se ha agregado a la configuración DNS correcta
Para confirmar que el registro CNAME se ha agregado correctamente a su configuración de DNS, ejecute un comando similar al siguiente:
**Nota:**Reemplace example-cname.example.com por su registro CNAME de ACM.
Linux y macOS:
dig +short _example-cname.example.com
Windows:
nslookup -type=cname _example-cname.example.com
El comando devuelve el valor del registro CNAME en la salida si el registro CNAME se ha agregado a la configuración DNS correcta y, a continuación, se ha propagado correctamente.
**Nota:**Algunos proveedores de DNS pueden tardar entre 24 y 48 horas en propagar los registros DNS.
Si el certificado se encuentra en estado Validación pendiente, confirme que el registro CNAME proporcionado por ACM se ha agregado a la configuración de DNS correcta. Para determinar la configuración de DNS para agregar el registro CNAME, ejecute un comando similar al siguiente:
Linux y macOS:
dig NS example.com
Windows:
nslookup -type=ns example.com
El comando proporciona los servidores de nombres incluidos en el registro NS de la configuración DNS correcta. Asegúrese de que la configuración de DNS en la que se agrega el registro CNAME incluya un registro NS con los servidores de nombres proporcionados en el resultado del comando.
Para obtener información sobre cómo añadir registros CNAME a su zona alojada de Amazon Route 53, consulte Creación de registros mediante la consola de Route 53.
**Nota:**No es posible validar la propiedad de un dominio cuando el registro CNAME correspondiente se encuentra en una zona alojada privada de Route 53. El registro CNAME debe estar en una zona alojada públicamente.
El registro CNAME tiene caracteres adicionales o le faltan caracteres
Asegúrese de que el registro CNAME agregado a su configuración de DNS no contenga caracteres adicionales o no le falten caracteres en el nombre o el valor.
El registro CNAME se agrega a la configuración de DNS correcta, pero el proveedor de DNS agrega automáticamente el dominio básico al final de sus registros DNS
Algunos proveedores de DNS pueden añadir automáticamente el dominio básico al final del campo de nombre de todos los registros DNS. En este escenario, el registro CNAME propagado agregado a la configuración de DNS es similar al siguiente:
_example-cname.example.com.example.com
Como el nombre del registro CNAME no coincide con el proporcionado por ACM, la validación no se ha realizado correctamente. El certificado ACM permanece en estado Validación pendiente hasta que, finalmente, se produce un error transcurridas 72 horas desde la solicitud del certificado.
Para determinar si su proveedor de DNS ha agregado automáticamente el dominio básico al final del registro CNAME, ejecute un comando similar al siguiente:
Linux y macOS:
dig +short _example-cname.example.com.example.com
Windows:
nslookup -type=cname _example-cname.example.com.example.com
Si el resultado devuelve el valor del registro CNAME, entonces su proveedor de DNS ha agregado el dominio vacío. El dominio vacío se ha agregado al final del campo de nombre de sus registros DNS.
Para resolver este problema, edite su registro CNAME para eliminar el dominio vacío del texto que ha introducido en el campo de nombre.
Después de que su proveedor de DNS añade el dominio vacío, solo habrá un dominio vacío presente.
Existen un registro CNAME y un registro TXT para el mismo nombre de dominio
Para confirmar si el registro CNAME y el registro TXT existen para el mismo dominio, ejecute un comando similar al siguiente:
Linux y macOS:
dig +short CNAME <cname_record_name>
dig TXT <cname_record_name>
Windows:
nslookup -type=CNAME <cname_record_name>
nslookup -type=TXT <cname_record_name>
Compare el resultado del comando dig para los tipos de registro CNAME y TXT. Si son idénticos, entonces un registro con formato incorrecto sigue teniendo el certificado en estado de validación pendiente, como se indica en el documento externo RFC 1034. Para solucionar este problema, puede eliminar el registro TXT.
Para obtener más información, consulte Solución de problemas de validación de DNS.
Información relacionada
Solución de problemas de renovación administrada de certificados
Contenido relevante
- OFICIAL DE AWSActualizada hace 5 meses
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace 2 años