V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wjpauli
V2EX  ›  Amazon Web Services

AWS Certificate Manager 申请的证书为何总是显示等待验证?

  •  
  •   wjpauli · 2023-04-23 18:32:58 +08:00 · 2147 次点击
    这是一个创建于 564 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在 godaddy 注册了一个域名:example.com ,目前 ns 都用到 godaddy 自己的如:ns67.domaincontrol.com.,有 A 记录 parked ,CNAME 有有一个 www ,值是 example.com ,还有一个 godaddy 自己的 cname 叫_domainconnect ,还有一个 godaddy 自己的 soa 。

    然后想在 aws 的 api gateway 中使用自定义域名:api.example.com ,需要创建 ACM 证书,我就去 ACM 界面为 api.example.com 申请了证书,并把相应的验证 cname 和值添加到 godaddy 的 dns 里,结果迟迟无法通过验证。

    我觉得不是时间的问题,因为以前试过直接给 another-example.com 这个顶级域申请 ACM 证书,瞬间通过验证,我以为是子域名的问题,就加了一个名为 api 的 cname ,指向 example.com ,可还是不行。

    还尝试把域名搞到 route 53 里面,就可以获得证书,但不想花钱托管在 route 53 里面,为何 ACM 不认 godaddy 的 dns cname 验证?

    11 条回复    2023-04-24 19:18:24 +08:00
    lsk569937453
        1
    lsk569937453  
       2023-04-23 19:42:02 +08:00
    免费证书 letsencrypt 可以先用着么?
    wjpauli
        2
    wjpauli  
    OP
       2023-04-23 20:19:44 +08:00
    @lsk569937453 aws 的 api gateway 必须使用 acm 的证书。
    wdlth
        3
    wdlth  
       2023-04-23 20:26:13 +08:00
    是不是有 CAA 记录?
    wjpauli
        4
    wjpauli  
    OP
       2023-04-23 22:13:36 +08:00
    @wdlth 什么东西?我新注册的域名,还是个处女。
    wjpauli
        5
    wjpauli  
    OP
       2023-04-23 22:14:05 +08:00
    我发现 example.com 的可以有效验证,www.和 sub.都是 pending 。
    whileFalse
        6
    whileFalse  
       2023-04-23 23:16:52 +08:00 via iPhone
    你可以在外面申请了证书然后导入到 acm 。

    首先检查你的 cname 有无问题。如果确认没有设置错误,可以删掉 acm 记录然后重建,即可以在一两分钟内通过。
    whileFalse
        7
    whileFalse  
       2023-04-23 23:20:31 +08:00 via iPhone
    > 我发现 example.com 的可以有效验证,www.和 sub.都是 pending 。

    你可以申请一个 example.com 和*.example.com ,这两个的 dns 记录相同,会秒过,比 www 好用。
    wjpauli
        8
    wjpauli  
    OP
       2023-04-23 23:52:37 +08:00
    我拿 godady 和腾讯云试了一下,发现都是 example.com 可以成功,sub.example.com 失败。然后用 dig tool 测试了一下,发现这个比较狗血,网上完全搜不到应该怎么弄,比如 sub.example.com acm 给出的 cname 是_123456.sub.example.com.,你要在 godaddy 那里填:_123456.sub ,这样就可以查到_123456.sub.example.com 这个 cname 。你要是填_123456 或_123456.sub.example.com ,就什么都查不到。
    wdlth
        9
    wdlth  
       2023-04-23 23:57:55 +08:00
    @wjpauli 有的 DNS 服务提供商的 CNAME 值最后要加一个点的,你有试过加上点么?
    Shiroka
        10
    Shiroka  
       2023-04-24 08:04:26 +08:00 via iPhone
    大部分 DNS 都会只让你填写子域名,example.com 这种域名本体会自动 append ,所以你只需要填写 _acme-challenge (为 example.com )和 _acme-challenge.www (为 www.example.com
    wjpauli
        11
    wjpauli  
    OP
       2023-04-24 19:18:24 +08:00
    @wdlth 不是点的事,而是你楼上(也就是我)和你楼下那大兄弟说的原因。关键这个东西完全是我试出来,没有地方告诉你该这样弄。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1795 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:34 · PVG 00:34 · LAX 08:34 · JFK 11:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.