Question

ACM인증서의 갱신에 관련하여 질문드립니다.

“DNS유효성 검사를 사용해 인증서를 자동으로 갱신할 수 없다” 내용으로 

AWS측에서 인증서 만료에 대한 메일이 왔습니다.

AWS에 로그인하여 ACM에 등록된 CNAME을 확인하였을 때 정상 등록된 상태입니다.

nslookup을 이용해 확인하고, 실제 도메인 호스팅 회사의 DNS설정을 확인해봐도 

해당 도메인에 대한 ACM에서 발급받은 인증서의 CNAME의 설정은 되어있는 상태입니다.

AWS의 ACM에서 DNS 유효성 검사가 되지 않는 이유가 궁금합니다.

Answer

해당 CNAME 레코드 끝에 추가로 도메인이 입력된 것으로 보입니다.

DNS 호스팅 업체 중 자동으로 기본도메인을 CNAME 레코드 끝에 추가하는 경우가 있습니다.

이 경우 유효성 검사 보류중 상태로 유지됩니다.

ACM 인증서에 등록된 CNAME의 이름은

 "_1bfb2531998bc9142cb923db6d06c801.EXAMPLE.COM " 이지만,

DNS 호스팅업체에 등록되어있는 CNAME의 이름은 "_1bfb2531998bc9142cb923db6d06c801.example.EXAMPLE.COM " 입니다.

ACM 인증서에 등록된 CNAME 이름과 DNS 호스팅업체에 등록되어있는 CNAME 이름이 

동일하지 않아 발생한 이슈입니다.

빨간 텍스트에 해당하는 부분을 CNAME 레코드에서 편집 후 확인해보시길 바랍니다.

Reference

▶ 참고문서[1] : 아직 검증 보류 중인 ACM 인증서에 대해 CNAME 레코드가 해결되지 않는 문제 해결 | AWS re:Post