Pourquoi le statut de validation DNS de mon certificat AWS Certificate Manager (ACM) est-il toujours marqué comme En attente de validation ?

Date de la dernière mise à jour : 08/06/2022

J'ai demandé un nouveau certificat AWS Certificate Manager (ACM) via la validation DNS, mais il est toujours en attente de validation.

Brève description

Lorsque vous demandez un certificat ACM à l'aide de la validation DNS, ACM vous fournit un enregistrement CNAME pour chaque nom de domaine spécifié dans le domaine du certificat. Vous devez ajouter l'enregistrement CNAME à votre configuration DNS. ACM utilise les enregistrements CNAME pour valider la propriété des domaines. Une fois les domaines validés, le statut du certificat n’est plus marqué comme Validation en attente, mais comme Succès.

Les demandes de certificat utilisant la validation DNS peuvent rester dans le statut Pending validation (En attente de validation) si :

  • L'enregistrement CNAME n'a pas été ajouté à la bonne configuration DNS.
  • L'enregistrement CNAME comporte des caractères supplémentaires ou il manque des caractères.
  • L'enregistrement CNAME a été ajouté à la bonne configuration DNS, mais le domaine nu a été automatiquement ajouté à la fin par le fournisseur DNS.
  • Un enregistrement CNAME et un enregistrement TXT existent déjà pour le même nom de domaine.

Remarque : ACM vérifie régulièrement l'enregistrement DNS. Ce processus ne peut pas être vérifié manuellement.

Pour plus d'informations sur la validation DNS, consultez la section Utilisation du service DNS pour valider la propriété d'un domaine.

Solution

L'enregistrement CNAME n'a pas été ajouté à la bonne configuration DNS

Pour vérifier que l'enregistrement CNAME a été correctement ajouté à votre configuration DNS, exécutez une commande similaire à la suivante :

Remarque : remplacez example-cname.example.com par votre enregistrement CNAME ACM.

Sous Linux et macOS :

dig +short _example-cname.example.com

Sous Windows :

nslookup -type=cname _example-cname.example.com

La commande permet d'obtenir la valeur associée à l'enregistrement CNAME si ce dernier a été ajouté à la bonne configuration DNS, et propagé avec succès.

Remarque : la propagation de certains enregistrements DNS peut prendre entre 24 et 48 heures.

Si votre certificat est à l'état Pending validation (En attente de validation), confirmez alors que l'enregistrement CNAME fourni par ACM a été ajouté à la bonne configuration DNS. Pour savoir à quelle configuration DNS l'enregistrement CNAME doit être ajouté, exécutez une commande similaire à la suivante :

Sous Linux et macOS :

dig NS example.com

Sous Windows :

nslookup -type=ns example.com

La commande permet d'identifier les serveurs de noms inclus à l'enregistrement NS de la bonne configuration DNS. Assurez-vous que l'enregistrement CNAME ajouté à votre configuration DNS contient un enregistrement NS comportant les serveurs de noms obtenus dans la sortie de la commande.

Pour obtenir des informations sur l'ajout d'enregistrements CNAME à votre zone hébergée Route 53, veuillez consulter Création d'enregistrements à l'aide de la console Amazon Route 53.

Remarque : il n'est pas possible de valider la propriété d'un domaine lorsque l'enregistrement CNAME correspondant se trouve dans une zone hébergée privée Route 53. L'enregistrement CNAME doit se trouver dans une zone hébergée publiquement.

L'enregistrement CNAME comporte des caractères supplémentaires ou certains sont manquants

Assurez-vous que l'enregistrement CNAME ajouté à votre configuration DNS ne contient aucun caractère supplémentaire, ou qu'aucun caractère n'est manquant dans le nom ou la valeur.

L'enregistrement CNAME a été ajouté à la bonne configuration DNS, mais le domaine nu a été automatiquement ajouté à la fin par le fournisseur DNS

Les fournisseurs DNS peuvent automatiquement ajouter le domaine nu à la fin du champ de nom de tous les enregistrements DNS. Dans ce scénario, l'enregistrement CNAME propagé ajouté à votre configuration DNS est analogue à celui-ci :

_example-cname.example.com.example.com

La demande de certificat reste dans le statut Pending validation (En attente de validation) jusqu'à ce qu'elle échoue.

Pour savoir si votre fournisseur DNS a ajouté automatiquement le domaine nu à la fin de l'enregistrement CNAME, exécutez une commande similaire à la suivante :

Sous Linux et macOS :

dig +short _example-cname.example.com.example.com

Sous Windows :

nslookup -type=cname _example-cname.example.com.example.com

Si vous obtenez la valeur correspondant à l'enregistrement CNAME, votre fournisseur DNS a ajouté le domaine nu à la fin de votre enregistrement.

Pour résoudre ce problème, modifiez votre enregistrement CNAME et retirez le domaine nu du texte que vous avez saisi.

Une fois que votre fournisseur DNS a ajouté le domaine nu, un seul domaine nu est alors présent.

Un enregistrement CNAME et un enregistrement TXT existent déjà pour le même nom de domaine.

Pour vérifier si l'enregistrement CNAME et l'enregistrement TXT existent pour le même domaine, exécutez une commande similaire à la suivante :

Sous Linux et macOS :

dig +short CNAME <cname_record_name>
dig TXT <cname_record_name>

Sous Windows :

nslookup -type=CNAME <cname_record_name>
nslookup -type=TXT <cname_record_name>

Comparez la sortie de la commande dig pour les types d'enregistrement CNAME et TXT. S'ils sont identiques, il s'agit d'un enregistrement mal formé, comme indiqué dans RFC 1034, bloquant le certificat à l'état d'attente de validation. Pour résoudre ce problème, vous pouvez supprimer l'enregistrement TXT.

Pour plus d'informations, veuillez consulter la section Résolution des problèmes de validation DNS.