Comment puis-je valider les certificats ACM depuis Route 53 ?

Brève description

Il existe deux méthodes pour valider la propriété d'un domaine pour un certificat ACM :

1. Validation du DNS
2. Validation des e-mails

Lorsque vous utilisez la validation DNS pour demander un certificat ACM, ACM fournit un enregistrement CNAME que vous devez ajouter à votre configuration DNS. ACM utilise l'enregistrement CNAME pour valider la propriété des domaines. Une fois qu'ACM a validé la propriété du domaine, le statut du certificat passe de En attente de validation à Émis.

Résolution

Remarque : Si des erreurs surviennent lors de l’exécution des commandes de l’interface de la ligne de commande AWS CLI, vérifiez que vous utilisez la version la plus récente d’AWS CLI.

Si Route 53 est le fournisseur de services DNS de votre domaine, vous pouvez utiliser une option en un clic dans la console ACM pour créer le CNAME. Lorsque vous sélectionnez cette option, ACM ajoute automatiquement l'enregistrement à la zone hébergée 53 du domaine.

Toutefois, si l'un des cas suivants est vrai, vous devez ajouter des enregistrements CNAME manuellement :

• Vous disposez de plusieurs zones hébergées pour le même domaine.
• Votre zone hébergée se trouve sur un autre compte.

Demandes de certificat de domaine Apex

Déterminez l'enregistrement du serveur de noms (NS)

1.    Pour trouver la configuration DNS de la zone hébergée appropriée, exécutez la commande suivante :

Pour Linux et macOS :

$ dig NS example.com

Pour Windows :

$ nslookup -type=ns example.com

Remarque : Remplacez example.com par votre nom de domaine.

2.    Cette commande fournit les serveurs de noms inclus dans l'enregistrement du serveur de noms (NS) de la configuration DNS du domaine. Ajoutez l'enregistrement CNAME à la zone hébergée Route 53 qui possède le même enregistrement NS que les serveurs de noms de votre sortie.

Voici un exemple de sortie :

$ dig example.com NS
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> example.com
NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56071
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;example.com. IN NS

;; ANSWER SECTION:
example.com. 300 IN NS ns-199x.awsdns-xx.co.uk.
example.com. 300 IN NS ns-29x.awsdns-xx.com.
example.com. 300 IN NS ns-54x.awsdns-xx.net.
example.com. 300 IN NS ns-120x.awsdns-xx.org.

Ajouter des enregistrements CNAME dans Route 53

Après avoir identifié la zone hébergée appropriée à l'aide des valeurs NS, ajoutez-y votre enregistrement CNAME :

1.    Ouvrez la console Route 53.

2.    Accédez à la zone hébergée de votre domaine. Cette zone hébergée doit avoir le même enregistrement NS que les serveurs de noms que vous avez identifiés lors de la tâche précédente.

3.    Choisissez Créer un enregistrement.

4.    Dans Nom, entrez le Nom d'enregistrement du CNAME généré par ACM, à l'exclusion de la partie domaine. Pour plus d'informations, consultez la section Fonctionnement des enregistrements CNAME pour ACM.

5.    Pour Valeur, entrez la Valeur d'enregistrement complète fournie par ACM.

6.    Pour le Type d'enregistrement, choisissez CNAME - Achemine le trafic vers un autre nom de domaine et vers certaines ressources AWS.

7.    Pour Politique de routage, choisissez Routage simple.

8.    Choisissez Create Records.

Vérifiez la résolution de l'enregistrement CNAME

Pour vérifier que Route 53 a bien ajouté l'enregistrement CNAME à votre configuration DNS, exécutez une commande similaire aux exemples suivants :

Pour Linux et macOS :

dig +short _example-cname.example.com

Pour Windows :

nslookup -type=cname _example-cname.example.com

Remarque :Remplacez example-cname.example.com par votre enregistrement ACM CNAME.

Si vous avez correctement ajouté et propagé l'enregistrement CNAME, la commande renvoie la valeur de l'enregistrement CNAME dans la sortie.

Demandes de certificat de sous-domaine

Vous disposez d'une zone hébergée distincte pour votre sous-domaine

Suivez les étapes décrites précédemment pour les demandes de certificat de domaine Apex et identifiez l'enregistrement NS du sous-domaine. Pour ce faire, remplacez le nom du domaine par le sous-domaine dans la commande.

Si vous recevez une sortie avec des valeurs NS, ajoutez les enregistrements CNAME dans la zone hébergée du sous-domaine pour qu'ils correspondent aux valeurs NS de la sortie.

Si vous ne recevez pas d'enregistrements NS après avoir exécuté la commande, vérifiez que vous avez correctement configuré la délégation de sous-domaines entre votre domaine apex et votre sous-domaine. Pour ce faire, créez un enregistrement de ressource avec l'enregistrement NS du sous-domaine dans la zone hébergée du domaine apex. Pour plus d'informations, consultez Comment créer un sous-domaine pour un domaine hébergé via Route 53 ?

Vous ne disposez pas d'une zone hébergée distincte pour votre sous-domaine

S'il n'existe pas de zone hébergée distincte pour le sous-domaine, ajoutez les enregistrements CNAME dans la zone hébergée du domaine apex. Suivez ensuite les étapes décrites précédemment pour les demandes de certificat de domaine Apex afin de vérifier que l'enregistrement CNAME est résolu comme prévu.

Remarque : En cas de modification récente de la configuration DNS, vous pouvez rencontrer des délais de propagation en fonction des valeurs TTL.