Pourquoi mon certificat DNS AWS Certificate Manager (ACM) est-il toujours en attente de validation ?

Date de la dernière mise à jour : 11/09/2020

J'ai demandé un nouveau certificat AWS Certificate Manager (ACM) via la validation DNS, mais il est toujours en attente de validation.

Brève description

Lorsque vous demandez un certificat ACM à l'aide de la validation DNS, ACM vous fournit un enregistrement CNAME que vous devez ajouter à votre configuration DNS. ACM utilise l'enregistrement CNAME pour valider la propriété des domaines. Une fois les domaines validés, le statut du certificat ne correspond plus à Validation en attente, mais à Émis.

Les demandes de certificat utilisant la validation DNS peuvent rester dans le statut Pending validation (En attente de validation) si :

  • L'enregistrement CNAME n'a pas été ajouté à la bonne configuration DNS.
  • L'enregistrement CNAME comporte des caractères supplémentaires ou il manque des caractères.
  • L'enregistrement CNAME a été ajouté à la bonne configuration DNS, mais le fournisseur DNS a automatiquement ajouté le domaine nu à la fin de ses enregistrements DNS.

Remarque : ACM vérifie régulièrement l'enregistrement DNS. Ce processus ne peut pas être vérifié manuellement.

Pour plus d’informations sur la validation DNS, consultez la section Utilisation du service DNS pour valider la propriété d'un domaine.

Résolution

L'enregistrement CNAME n'a pas été ajouté à la bonne configuration DNS

Pour vérifier si l'enregistrement CNAME a été ajouté à la bonne configuration DNS, exécutez une commande similaire à la suivante :

Remarque : remplacez example-cname.example.com par votre enregistrement CNAME.

Sous Linux et macOS :

dig +short _example-cname.example.com

Sous Windows :

nslookup -type=cname _example-cname.example.com

La commande permet d'obtenir la valeur associée à l'enregistrement CNAME si ce dernier a été ajouté à la bonne configuration DNS, et propagé avec succès.

Remarque : la propagation de certains enregistrements DNS peut prendre entre 24 et 48 heures.

Si l'état de votre certificat correspond à En attente de validation, vous devez vérifier si l'enregistrement CNAME fourni par ACM a été ajouté à la bonne configuration DNS. Pour savoir à quelle configuration DNS l'enregistrement CNAME doit être ajouté, exécutez une commande similaire à la suivante :

Sous Linux et macOS :

dig NS example.com

Sous Windows :

nslookup -type=ns example.com

La commande permet d'identifier les serveurs de noms inclus à l'enregistrement NS de la bonne configuration DNS. Assurez-vous que l'enregistrement CNAME ajouté à votre configuration DNS inclut un enregistrement NS comportant les serveurs de noms obtenus avec la commande.

Pour obtenir des informations sur l'ajout d'enregistrements CNAME à votre zone hébergée Route 53, consultez la section Création d'enregistrements à l'aide de la console Amazon Route 53.

L'enregistrement CNAME comporte des caractères supplémentaires ou certains sont manquants

Assurez-vous que l'enregistrement CNAME ajouté à votre configuration DNS ne contient aucun caractère supplémentaire, ou qu'aucun caractère n'est manquant dans le nom ou la valeur.

L'enregistrement CNAME a été ajouté à la bonne configuration DNS, mais le domaine nu a été automatiquement ajouté à la fin par le fournisseur DNS

Les fournisseurs DNS peuvent automatiquement ajouter le domaine nu à la fin du champ de nom de tous les enregistrements DNS. Dans ce scénario, l'enregistrement CNAME propagé ajouté à votre configuration DNS est analogue à celui-ci :

_example-cname.example.com.example.com

La demande de certificat reste dans le statut Pending validation (En attente de validation) jusqu'à ce qu'elle échoue.

Pour savoir si votre fournisseur DNS a ajouté automatiquement le domaine nu à la fin de l'enregistrement CNAME, exécutez une commande similaire à la suivante :

Sous Linux et macOS :

dig +short _example-cname.example.com.example.com

Sous Windows :

nslookup -type=cname _example-cname.example.com.example.com

Si vous obtenez la valeur correspondant à l'enregistrement CNAME, votre fournisseur DNS a ajouté le domaine nu à la fin de votre enregistrement.

Pour résoudre ce problème, modifiez votre enregistrement CNAME et retirez le domaine nu du texte que vous avez saisi.

Une fois que votre fournisseur DNS ajoute le domaine nu, un seul domaine est présent.

Pour plus d'informations, consultez la section Résolution des problèmes de validation DNS.