我在 Route 53 中注册了一个名为 的托管区域subdomain.domain.com。我现在正尝试在 AWS 证书管理器中创建证书来保护二级子域。我创建了一个通配符证书*.subdomain.domain.com,然后转到我的域 DNS 配置并添加了以下记录:
| 主机名 | 类型 | 姓名 | 价值 |
|---|---|---|---|
| *.子域名.域名.com | 别名记录 | _xxx.子域名.域名.com | _xxx.xxx.acm-验证.aws。 |
| 子域名.域名.com | 国家标准 | 子域名.域名.com | 来自我的托管区域的 4 个名称服务器 |
该证书已等待验证数小时。我已验证 CNAME 值正确。证书验证方法设置为 DNS。真的不知道我还遗漏了什么。
更新
我更新了证书定义以添加 SAN *.domain.com,然后转到我的 DNS 管理器添加由 AWS 生成的 CNAME 记录。SAN*.domain.com立即得到验证,但二级子域 SAN 仍处于待处理状态。
答案1
对于遇到类似问题的人,解决我问题的方法是向托管区域添加 CNAME 记录。这可以通过转到 ACM 中的待处理证书并单击“在 Route 53 中创建记录”来完成。这使得验证在大约 10 分钟后成功完成。
此外,我相信它适用于 APEX 域(即 domain.com)而不是二级子域证书的原因是由于我在 DNS 配置中添加了 NS 记录。
如果你使用 Cloudformation 创建证书,则可以通过提供以下方式自动执行此操作域验证选项在您的AWS::CertificateManager::Certificate资源中并指定对托管区域的引用。这将自动添加 CNAME 记录。