Comment valider des certificats ACM à partir de Route 53 ?

Date de la dernière mise à jour : 20/04/2021

Comment valider des certificats AWS Certificate Manager (ACM) à partir d'Amazon Route 53 ?

Brève description

Deux méthodes sont disponibles pour valider la propriété des domaines des certificats ACM :

1.    Validation DNS

2.    Validation par e-mail

Lorsque vous demandez un certificat ACM à l'aide de la validation DNS, ACM fournit un enregistrement CNAME que vous devez ajouter à votre configuration DNS. ACM utilise l'enregistrement CNAME pour valider la propriété des domaines. Une fois la propriété des domaines validée, le statut du certificat passe de Validation en attente à Émis.

Résolution

Remarque : en cas d'erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente d'AWS CLI.

Si vous utilisez Route 53 comme fournisseur de services DNS pour les domaines demandés dans le certificat ACM, vous pouvez utiliser une option en un clic de la console ACM pour créer l'enregistrement CNAME. Lorsque vous sélectionnez cette option, l'enregistrement est automatiquement ajouté à la zone hébergée Route 53 du domaine.

Cela dit, dans les cas suivants, les enregistrements CNAME doivent être ajoutés manuellement :

  • Vous disposez de plusieurs zones hébergées pour le même domaine
  • Votre zone hébergée est associée à un autre compte

Demandes de certificat de domaine apex

Déterminer l'enregistrement NS

1.    Exécutez la commande suivante pour rechercher la configuration DNS de la zone hébergée appropriée.

Sous Linux et macOS :

$ dig NS example.com
Sous Windows :
$ nslookup -type=ns example.com

Remarque : remplacez « example.com » par votre nom de domaine.

2.    La commande précédente permet d'identifier les serveurs de noms inclus dans l'enregistrement de serveur de noms (NS) de la configuration DNS du domaine. Ajoutez l'enregistrement CNAME à la zone hébergée Route 53 qui dispose d'un enregistrement NS identique à celui des serveurs de noms de votre sortie.

Exemple de sortie :

$ dig example.com NS
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> example.com
NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56071
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;example.com. IN NS

;; ANSWER SECTION:
example.com. 300 IN NS ns-1992.awsdns-57.co.uk.
example.com. 300 IN NS ns-290.awsdns-36.com.
example.com. 300 IN NS ns-547.awsdns-04.net.
example.com. 300 IN NS ns-1200.awsdns-22.org.

Ajouter des enregistrements CNAME dans Route 53

Après avoir identifié la zone hébergée appropriée à l'aide des valeurs NS, ajoutez-y votre enregistrement CNAME :

1.    Ouvrez la console Route 53.

2.    Accédez à la zone hébergée de votre domaine. L'enregistrement NS de cette zone hébergée doit être identique à celui des serveurs de noms que vous avez identifiés lors de la tâche précédente.

3.    Sélectionnez Créer un enregistrement.

4.    Dans le champ Nom, entrez le Nom de l'enregistrement CNAME généré par ACM, à l'exclusion de la portion relative au domaine. Pour plus d'informations, consultez Fonctionnement des enregistrements CNAME pour ACM.

5.    Dans le champ Valeur, entrez la Valeur d'enregistrement complète fournie par ACM.

6.    Dans le champ Type d'enregistrement, sélectionnez CNAME - Achemine le trafic vers un autre nom de domaine et vers certaines ressources AWS.

7.    Dans le champ Stratégie de routage, sélectionnez Routage simple.

8.    Sélectionnez Créer des enregistrements.

Vérifier la résolution de l'enregistrement CNAME

Pour vous assurer que l'enregistrement CNAME a été correctement ajouté à votre configuration DNS, exécutez une commande semblable à la suivante, en fonction de votre cas d'utilisation.

Sous Linux et macOS :

dig +short _example-cname.example.com

Sous Windows :

nslookup -type=cname _example-cname.example.com

Remarque : remplacez « example-cname.example.com » par votre enregistrement CNAME ACM.

Si l'enregistrement CNAME a été ajouté à la bonne configuration DNS, et propagé avec succès, la commande renvoie la valeur correspondante dans la sortie.

Demandes de certificat de sous-domaine

Si vous disposez d'une zone hébergée distincte pour votre sous-domaine :

Suivez les étapes décrites précédemment pour les demandes de certificat de domaine apex, et identifiez l'enregistrement NS du sous-domaine en remplaçant le nom du domaine par le sous-domaine dans la commande.

Si la sortie contient des valeurs NS, ajoutez les enregistrements CNAME dans la zone hébergée du sous-domaine qui correspond aux valeurs NS de la sortie.

En l'absence d'enregistrements NS après l'exécution de la commande, assurez-vous que la délégation de sous-domaine appropriée est configurée entre votre domaine apex et votre sous-domaine. Pour ce faire, créez un enregistrement de ressource avec l'enregistrement NS du sous-domaine dans la zone hébergée du domaine apex. Pour plus d'informations, consultez Création d'un sous-domaine pour un domaine hébergé via Route 53.

En l'absence de zone hébergée distincte pour votre sous-domaine :

En l'absence de zone hébergée distincte pour le sous-domaine, ajoutez les enregistrements CNAME dans la zone hébergée du domaine apex. Vérifiez ensuite que la résolution de l'enregistrement CNAME est conforme aux attentes en suivant les étapes décrites précédemment pour les demandes de certificat de domaine apex.

Remarque : si la configuration DNS a été récemment modifiée, vous pouvez rencontrer des retards de propagation basés sur les valeurs TTL.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?