Pourquoi l'enregistrement CNAME ne se résout-il pas pour mon certificat émis par ACM alors que l'état de validation DNS est toujours en attente de validation ?

Dernière mise à jour : 09/01/2023

J'ai demandé un nouveau certificat AWS Certificate Manager (ACM) à l'aide de la validation DNS. Cependant, l'enregistrement CNAME n'est pas résolu et son statut est toujours en attente de validation.

Brève description

Lorsque vous demandez un certificat ACM à l'aide de la validation DNS, ACM vous fournit un enregistrement CNAME pour chaque nom de domaine spécifié dans le domaine du certificat. Vous devez ajouter l'enregistrement CNAME à votre configuration DNS. ACM utilise les enregistrements CNAME pour valider la propriété des domaines. Une fois les domaines validés, le statut du certificat n’est plus marqué comme En attente de validation, mais comme Succès.

Les demandes de certificat utilisant la validation DNS peuvent rester dans le statut Pending validation (En attente de validation) si :

  • L'enregistrement CNAME n'a pas été ajouté à la bonne configuration DNS.
  • L'enregistrement CNAME comporte des caractères supplémentaires ou il manque des caractères.
  • L'enregistrement CNAME a été ajouté à la bonne configuration DNS, mais le domaine nu a été automatiquement ajouté à la fin par le fournisseur DNS.
  • Un enregistrement CNAME et un enregistrement TXT existent déjà pour le même nom de domaine.

Remarque : ACM vérifie régulièrement l'enregistrement DNS. Ce processus ne peut pas être vérifié manuellement.

Pour plus d'informations, consultez Validation DNS.

Solution

L'enregistrement CNAME n'a pas été ajouté à la bonne configuration DNS

Pour vérifier que l'enregistrement CNAME a été correctement ajouté à votre configuration DNS, exécutez une commande similaire à la suivante :

Remarque : remplacez example-cname.example.com par votre enregistrement CNAME ACM.

Sous Linux et macOS :

dig +short _example-cname.example.com

Sous Windows :

nslookup -type=cname _example-cname.example.com

La commande permet d'obtenir la valeur associée à l'enregistrement CNAME si ce dernier a été ajouté à la bonne configuration DNS, et propagé avec succès.

Remarque : la propagation de certains enregistrements DNS peut prendre entre 24 et 48 heures.

Si votre certificat est à l'état Pending validation (En attente de validation), confirmez alors que l'enregistrement CNAME fourni par ACM a été ajouté à la bonne configuration DNS. Pour savoir à quelle configuration DNS l'enregistrement CNAME doit être ajouté, exécutez une commande similaire à la suivante :

Sous Linux et macOS :

dig NS example.com

Sous Windows :

nslookup -type=ns example.com

La commande permet d'identifier les serveurs de noms inclus à l'enregistrement NS de la bonne configuration DNS. Assurez-vous que l'enregistrement CNAME ajouté à votre configuration DNS contient un enregistrement NS comportant les serveurs de noms obtenus dans la sortie de la commande.

Pour obtenir des informations sur l'ajout d'enregistrements CNAME à votre zone hébergée Amazon Route 53, consultez la section Création d'enregistrements à l'aide de la console Route 53.

Remarque : il n'est pas possible de valider la propriété d'un domaine lorsque l'enregistrement CNAME correspondant se trouve dans une zone hébergée privée Route 53. L'enregistrement CNAME doit se trouver dans une zone hébergée publiquement.

L'enregistrement CNAME comporte des caractères supplémentaires ou certains sont manquants

Assurez-vous que l'enregistrement CNAME ajouté à votre configuration DNS ne contient aucun caractère supplémentaire, ou qu'aucun caractère n'est manquant dans le nom ou la valeur.

L'enregistrement CNAME a été ajouté à la bonne configuration DNS, mais le domaine nu a été automatiquement ajouté à la fin par le fournisseur DNS

Certains fournisseurs DNS peuvent automatiquement ajouter le domaine nu à la fin du champ de nom de tous les enregistrements DNS. Dans ce scénario, l'enregistrement CNAME propagé ajouté à votre configuration DNS est analogue à celui-ci :

_example-cname.example.com.example.com

Comme le nom de l'enregistrement CNAME ne correspond pas à celui fourni par ACM, la validation échoue. Le certificat ACM reste en attente de validation jusqu'à ce qu'il échoue 72 heures après la demande du certificat.

Pour savoir si votre fournisseur DNS a ajouté automatiquement le domaine nu à la fin de l'enregistrement CNAME, exécutez une commande similaire à la suivante :

Sous Linux et macOS :

dig +short _example-cname.example.com.example.com

Sous Windows :

nslookup -type=cname _example-cname.example.com.example.com

Si la sortie renvoie la valeur de l'enregistrement CNAME, votre fournisseur DNS a ajouté le domaine nu. Le domaine nu a été ajouté à la fin du champ de nom de vos enregistrements DNS.

Pour résoudre ce problème, modifiez votre enregistrement CNAME et retirez le domaine nu du texte que vous avez saisi.

Une fois que votre fournisseur DNS a ajouté le domaine nu, un seul domaine nu est alors présent.

Un enregistrement CNAME et un enregistrement TXT existent déjà pour le même nom de domaine.

Pour vérifier si l'enregistrement CNAME et l'enregistrement TXT existent pour le même domaine, exécutez une commande similaire à la suivante :

Sous Linux et macOS :

dig +short CNAME <cname_record_name>
dig TXT <cname_record_name>

Sous Windows :

nslookup -type=CNAME <cname_record_name>
nslookup -type=TXT <cname_record_name>

Comparez la sortie de la commande dig pour les types d'enregistrement CNAME et TXT. S'ils sont identiques, alors un enregistrement mal formé maintient le certificat dans l'état en attente de validation, comme indiqué dans le document externe RFC 1034. Pour résoudre ce problème, vous pouvez supprimer l'enregistrement TXT.

Pour plus d'informations, consultez la section Résolution des problèmes de validation DNS.