Pourquoi ne reçois-je pas d'e-mails de validation lorsque j'utilise ACM pour émettre ou renouveler un certificat ?

Date de la dernière mise à jour : 22/08/2019

Pourquoi la validation par e-mail ne fonctionne-t-elle pas pour les certificats Amazon Certificate Manager (ACM) ?  

Brève description

ACM envoie les e-mails de validation aux cinq adresses système courantes tant qu'il existe un enregistrement MX pour le domaine. Pour obtenir la liste des adresses e-mail par défaut, consultez la section Enregistrement MX.

ACM envoie également un e-mail de validation de domaine aux adresses e-mail associées aux champs de contact inscrit, technique et administratif de la liste WHOIS. Pour plus d'informations, consultez la section Utiliser un e-mail pour valider la propriété du domaine.

Certains bureaux d'enregistrement de domaine ne renseignent pas les informations de contact dans les données WHOIS. La création ou le renouvellement de votre certificat ACM peut être affecté dans les cas suivants :

  • Votre bureau d'enregistrement de domaine n'inclut pas les adresses e-mail de contact dans les données WHOIS.
  • Vous utilisez des adresses e-mail personnalisées dans WHOIS pour la validation de certificat.

La recherche WHOIS de validation d'e-mail est effectuée sur le domaine apex et consiste à rechercher les adresses e-mail dans les champs des contacts inscrit, technique et administratif. Vérifiez vos adresses e-mail répertoriées à l'aide d'une requête WHOIS. Pour plus d'informations, consultez la section Activation ou désactivation de la protection de la confidentialité pour les informations de contact pour un domaine.

Vous ne recevez pas de réponse ou vous recevez une réponse similaire à ce qui suit :

Registrant Contact
Name: Data Protected Data Protected
Organization: Data Protected
Mailing Address: 123 Data Protected, Toronto ON M6K 3M1 CA
Phone: +1.0000000000
Ext:
Fax: +1.0000000000
Fax Ext:
Email:noreply@data-protected.net

Remarque : ACM n'est pas compatible avec CAPTCHA. ACM peut ne pas trouver les données WHOIS configurées avec un texte CAPTCHA.

Important : AWS ne contrôle pas les données WHOIS et ne peut pas empêcher la limitation du serveur WHOIS. Pour plus d'informations, consultez Limitation WHOIS.

Résolution

Deux options sont disponibles, selon votre préférence et l'effort nécessaire à la conservation ou au basculement.

Important : vous ne pouvez pas convertir une validation de certificat ACM d'e-mail en DNS ou de DNS en e-mail. Si vous changez de méthode de validation, vous devez émettre un nouveau certificat ACM qui remplacera l'ancien.

Option 1 - utiliser des e-mails

Vous pouvez continuer à utiliser des e-mails pour la validation. Il est recommandé de vérifier qu'au moins l'une des cinq adresses e-mail par défaut est valide et surveillée pour votre domaine. Cliquez sur le lien dans l'e-mail de validation pour terminer la validation.

Les e-mails sont envoyés au serveur de messagerie comme indiqué dans les enregistrements MX de votre domaine. Si vous ne recevez pas d'e-mails pour le domaine, vérifiez que le domaine possède au moins un enregistrement MX valide à l'aide des commandes suivantes :

Linux et macOS

$dig mx example.com

Windows

$nslookup -q=mx example.com

Les e-mails de validation sont envoyés aux serveurs de messagerie indiqués dans l'enregistrement MX.

;; ANSWER SECTION:
example.com.             599     IN      MX      10 mail1.example.com.
example.com.             599     IN      MX      20 mail2.example.com.

Vous pouvez utiliser Amazon Simple Email Service (Amazon SES) et Amazon Simple Notification Service (Amazon SNS) pour recevoir un e-mail de validation ACM si :

  • vous n'avez pas d'enregistrement MX ;
  • votre bureau d’enregistrement de domaine ne prend pas en charge le transfert d’e-mails.

Option 2 : utiliser DNS

Pour basculer vers la validation DNS, recréez le certificat ACM, puis sélectionnez DNS pour la validation. La validation DNS présente plusieurs avantages par rapport à la validation par e-mail, particulièrement si Amazon Route 53 est le fournisseur DNS pour votre domaine.

  • DNS nécessite la création d'un enregistrement CNAME par nom de domaine, utilisé uniquement pour la demande de certificat ACM. La validation par e-mail envoie jusqu'à huit e-mails par nom de domaine.
  • Vous pouvez demander des certificats ACM supplémentaires pour votre nom de domaine complet (FQDN) si l'enregistrement DNS est en cours d'utilisation.
  • ACM renouvelle automatiquement les certificats que vous avez validés à l'aide de DNS. ACM renouvelle chaque certificat avant qu'il n'expire si le certificat et l'enregistrement DNS sont en cours d'utilisation.
  • ACM peut ajouter l'enregistrement CNAME pour vous si vous utilisez Route 53 pour gérer vos enregistrements DNS publics.
  • Le processus automatisé de validation DNS est moins complexe que le processus de validation par e-mail.
  • Vous pouvez basculer vers la validation DNS sans frais supplémentaires.

Les services intégrés à AWS Certificate Manager à l'aide de l'ancien certificat ACM doivent être mis à jour pour utiliser le nouveau certificat. Cela s'explique par le fait que les nouveaux certificats ACM génèrent un Amazon Resource Name (ARN). Vous ne pouvez pas conserver l'ARN avec un nouveau certificat ACM. Seuls les certificats ACM renouvelés conservent le même ARN.

Vous pouvez établir la région pour un certificat ACM en exécutant la commande suivante sur la ligne de commande :

$aws acm describe-certificate --certificate-arn arn:aws:acm:region:12345678911:certificate/123456-1234-1234-1234-123456789 --output text |grep INUSEBY

Pour plus d'informations et de conseils sur l'utilisation de la validation DNS, consultez la section Utiliser DNS pour valider la propriété du domaine.