Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risolvi i problemi con AWS Certificate Manager
Consulta i seguenti argomenti in caso di problemi relativi all'utilizzo di AWS Certificate Manager.
**Nota**
Se il problema non è illustrato in questa sezione, si consiglia di visitare [Portale del sapere di AWS](https://aws.amazon.com/premiumsupport/knowledge-center/).
**Topics**
+ [Risolvi i problemi relativi alle richieste di certificati](troubleshooting-cert-requests.md)
+ [Risolvi i problemi relativi alla convalida dei certificati](certificate-validation.md)
+ [Risolvi i problemi relativi al rinnovo gestito dei certificati](troubleshooting-renewal.md)
+ [Risolvi altri problemi](misc-problems.md)
+ [Gestione delle eccezioni](exceptions.md)
# Risolvi i problemi relativi alle richieste di certificati
Consulta i seguenti argomenti in caso di problemi durante la richiesta di un certificato ACM.
**Topics**
+ [Timeout della richiesta di certificato](#troubleshooting-timed-out)
+ [Errore nella richiesta di certificato](#troubleshooting-failed)
## Timeout della richiesta di certificato
Le richieste per i certificati ACM scadono se non vengono convalidate entro 72 ore. Per correggere questa condizione, apri la console, trova il registro per il certificato, fai clic sulla casella di controllo relativa, scegli **Operazioni** e seleziona **Elimina**. Quindi scegli **Operazioni** e **Richiedi un certificato** per ricominciare. Per ulteriori informazioni, consulta [AWS Certificate Manager Convalida DNSConvalida DNS](dns-validation.md) o [AWS Certificate Manager convalida e-mail](email-validation.md). È consigliabile utilizzare la convalida del DNS se possibile.
## Errore nella richiesta di certificato
Se la richiesta di ACM non riesce e viene visualizzato uno dei seguenti messaggi di errore, attieniti alla procedura suggerita per risolvere il problema. Non è possibile inviare nuovamente una richiesta di certificato non riuscita: dopo aver risolto il problema, inviare una nuova richiesta.
**Topics**
+ [Messaggio di errore: Nessun contatto disponibile](#failed-no-available-contacts)
+ [Messaggio di errore: Verifica aggiuntiva richiesta](#failed-additional-verification-required)
+ [Messaggio di errore: Dominio pubblico non valido](#failed-invalid-domain)
+ [Messaggio di errore: Altro](#failed-other)
### Messaggio di errore: Nessun contatto disponibile
Hai scelto la convalida dell'e-mail quando hai richiesto il certificato, ma ACM non ha trovato alcun indirizzo e-mail da utilizzare per la convalida di uno o più nomi di dominio nella richiesta. Per risolvere questo problema, puoi procedere in uno dei seguenti modi:
+ Assicurati che il dominio sia configurato per ricevere e-mail. Il server dei nomi di dominio deve avere un registro mail exchanger (registro MX), in modo che i server di posta elettronica ACM sappiano dove inviare l'[e-mail di convalida del dominio](email-validation.md).
L'esecuzione di una delle attività precedenti è sufficiente per risolvere il problema; non è necessario eseguire entrambe le attività. Dopo aver risolto il problema, richiedi un nuovo certificato.
Per ulteriori informazioni su come essere certi di ricevere le e-mail di convalida del dominio da ACM, consulta [AWS Certificate Manager convalida e-mail](email-validation.md) o [Mancata ricezione dell'e-mail di convalida](troubleshooting-email-validation.md#troubleshooting-no-mail). Se segui queste fasi e continui a ricevere il messaggio **No Available Contacts (Nessun contatto disponibile)**, [segnala il problema ad AWS](https://console.aws.amazon.com/support/home) per consentirci di eseguire ulteriori indagini.
### Messaggio di errore: Verifica aggiuntiva richiesta
ACM richiede ulteriori informazioni per elaborare la richiesta di certificato. Ciò avviene come misura di protezione contro le frodi se il tuo dominio si colloca all'interno dei [migliori 1000 siti web di Alexa](https://aws.amazon.com/marketplace/pp/Amazon-Web-Services-Alexa-Top-Sites/B07QK2XWNV). Per fornire queste informazioni, usa il [Centro di supporto](https://console.aws.amazon.com/support/home) per contattare Supporto. Se non disponi di un piano di supporto, pubblica un nuovo thread nel [forum di discussione di ACM](https://forums.aws.amazon.com/forum.jspa?forumID=206).
**Nota**
Non puoi richiedere un certificato per i nomi di dominio di proprietà di Amazon, ad esempio quelli che finiscono con amazonaws.com, cloudfront.net o elasticbeanstalk.com.
### Messaggio di errore: Dominio pubblico non valido
Uno o più nomi di dominio nella richiesta di certificato non è valido. In genere questa situazione si verifica perché un nome di dominio nella richiesta non è un dominio di primo livello valido. Prova a richiedere di nuovo un certificato, correggendo gli eventuali errori ortografici o refusi presenti nella richiesta non riuscita e accertandoti che tutti i nomi di dominio nella richiesta facciano riferimento a domini di primo livello validi. Ad esempio, non è possibile richiedere un certificato ACM `example.invalidpublicdomain` perché "**invalidpublicdomain" non è un dominio** di primo livello valido. Se continui a ricevere questo motivo dell'errore, contatta il [Centro di supporto](https://console.aws.amazon.com/support/home). Se non disponi di un piano di supporto, pubblica un nuovo thread nel [forum di discussione di ACM](https://forums.aws.amazon.com/forum.jspa?forumID=206).
### Messaggio di errore: Altro
In genere questo problema si verifica in presenza di un errore tipografico in uno o più nomi di dominio nella richiesta di certificato. Prova a richiedere di nuovo un certificato, correggendo gli eventuali errori ortografici o refusi presenti nella richiesta non riuscita. Se continui a ricevere questo motivo dell'errore, usa il [Centro di supporto](https://console.aws.amazon.com/support/home) per contattare Supporto. Se non disponi di un piano di supporto, pubblica un nuovo thread nel [forum di discussione di ACM](https://forums.aws.amazon.com/forum.jspa?forumID=206).
# Risolvi i problemi relativi alla convalida dei certificati
Se lo stato della richiesta del certificato ACM è **Convalida in attesa**, la richiesta è in attesa di un'operazione da parte dell'utente. Se quando è stata effettuata la richiesta è stata scelta la convalida e-mail, l'utente o un rappresentante autorizzato devono rispondere ai messaggi e-mail di convalida. Questi messaggi sono stati inviati agli indirizzi e-mail comuni del dominio richiesto. Per ulteriori informazioni, consulta [AWS Certificate Manager convalida e-mail](email-validation.md). Se è stata scelta la convalida DNS, è necessario scrivere il record CNAME creato da ACM per l'utente nel database DNS. Per ulteriori informazioni, consulta [AWS Certificate Manager Convalida DNSConvalida DNS](dns-validation.md).
**Importante**
L'utente deve convalidare la proprietà o il controllo di ogni nome di dominio incluso nella richiesta di certificato. Se si sceglie la convalida e-mail, si riceveranno messaggi e-mail di convalida per ogni dominio. In caso contrario, consultare [Mancata ricezione dell'e-mail di convalida](troubleshooting-email-validation.md#troubleshooting-no-mail). Se si sceglie la convalida DNS, è necessario creare un record CNAME per ogni dominio.
**Nota**
[I certificati ACM pubblici possono essere installati su istanze Amazon EC2 collegate a una Nitro Enclave.](acm-services.md#acm-nitro-enclave) Puoi anche [esportare un certificato pubblico](export-public-certificate.md) da utilizzare su qualsiasi istanza Amazon EC2. Per informazioni sulla configurazione di un server Web autonomo su un'istanza Amazon EC2 non connessa a Nitro Enclave, vedi [Tutorial: Installa un server Web LAMP su Amazon Linux 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html) o [Tutorial: installa un server Web LAMP con Amazon Linux AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html).
Si consiglia di utilizzare la convalida DNS anziché la convalida e-mail.
Consulta i seguenti argomenti se riscontri problemi di convalida.
**Topics**
+ [Risoluzione dei problemi di convalida DNS](troubleshooting-DNS-validation.md)
+ [Risoluzione dei problemi di convalida e-mail](troubleshooting-email-validation.md)
+ [Risoluzione dei problemi di convalida HTTP](troubleshooting-HTTP-validation.md)
# Risoluzione dei problemi di convalida DNS
Consultare la seguente guida se si riscontrano problemi nel convalidare un certificato con DNS.
La prima fase nella risoluzione dei problemi DNS consiste nel verificare lo stato corrente del dominio con i seguenti strumenti:
+ **dig** — [Linux](https://linux.die.net/man/1/dig), [Windows](https://help.dyn.com/how-to-use-binds-dig-tool/)
+ **nslookup** — [Linux](https://linux.die.net/man/1/nslookup), [Windows](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/nslookup)
**Topics**
+ [Trattini bassi proibiti dal provider DNS](#underscores-prohibited)
+ [Periodo finale predefinito aggiunto dal provider DNS](#troubleshooting-trailing-period)
+ [Convalida DNS in caso di errore GoDaddy](#troubleshooting-DNS-GoDaddy)
+ [La console ACM non visualizza il pulsante "Crea record in Route 53"](#troubleshooting-route53-1)
+ [La convalida di Route 53 non riesce su domini privati (non attendibili)](#troubleshooting-route53-2)
+ [La convalida ha esito positivo ma l'emissione o il rinnovo falliscono](#troubleshooting-dns-pending-violation)
+ [La convalida non riesce per il server DNS su una VPN](#troubleshooting-vpn)
## Trattini bassi proibiti dal provider DNS
Se il provider DNS non consente l'utilizzo di trattini bassi iniziali di valori CNAME, è possibile eliminarli dal valore fornito da ACM e convalidare il dominio senza. Ad esempio, il valore CNAME `_x2.acm-validations.aws` può essere modificato in `x2.acm-validations.aws` per la convalida. Tuttavia, il parametro del nome CNAME deve essere iniziare con un trattino basso.
Per convalidare un dominio è possibile utilizzare uno dei valori a destra della tabella qui di seguito.
| Name | Tipo | Valore |
| --- | --- | --- |
| `_.example.com.` | CNAME | `_.acm-validations.aws.` |
| `_.example.com.` | CNAME | `.acm-validations.aws.` |
## Periodo finale predefinito aggiunto dal provider DNS
Alcuni provider DNS aggiungono per impostazione predefinita un periodo finale al valore CNAME fornito. Di conseguenza, l'aggiunta del periodo provoca un errore. Ad esempio, "`.acm-validations.aws.`" viene rifiutato mentre "`.acm-validations.aws`" è accettato.
## Convalida DNS in caso di errore GoDaddy
La convalida DNS per i domini registrati con Godaddy e altri registri potrebbe non riuscire a meno che non si modifichino i valori CNAME forniti da ACM. Prendendo example.com come nome di dominio, il record CNAME emesso ha la seguente forma:
```
NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
```
È possibile creare un record CNAME compatibile con GoDaddy troncando il dominio apex (incluso il punto) alla fine del campo NAME, come segue:
```
NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
```
## La console ACM non visualizza il pulsante "Crea record in Route 53"
Se scegli Amazon Route 53 come provider DNS, AWS Certificate Manager puoi interagire direttamente con Amazon Route 53 per convalidare la proprietà del dominio. In alcune circostanze, il pulsante **Crea registri in Route 53** della console potrebbe non essere disponibile. In questo caso, verificare le seguenti possibili cause.
+ Non stai utilizzando Route 53 come provider DNS.
+ Hai eseguito l'accesso ad ACM e a Route 53 con account diversi.
+ Mancano le autorizzazioni IAM per la creazione di registri in una zona ospitata da Route 53.
+ L'utente o un'altra persona ha già convalidato il dominio.
+ Il dominio non è indirizzabile pubblicamente.
## La convalida di Route 53 non riesce su domini privati (non attendibili)
Durante la convalida DNS, ACM cerca un CNAME in una zona ospitata pubblicamente. Quando non ne trova uno, viene eseguito il timeout dopo 72 ore con uno stato di **Validation timed out (Timeout della convalida)**. Non è possibile utilizzarlo per l'hosting dei record DNS per domini privati, comprese risorse in una [zona ospitata privata](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) di Amazon VPC, domini non attendibili nel proprio PKI privato o certificati autofirmati.
AWS fornisce supporto per domini pubblicamente non attendibili tramite il servizio. [CA privata AWS](https://aws.amazon.com/certificate-manager/private-certificate-authority/)
## La convalida ha esito positivo ma l'emissione o il rinnovo falliscono
Se l'emissione del certificato fallisce e viene visualizzato il messaggio "Convalida in sospeso" anche se il DNS è corretto, verifica che l'emissione non sia bloccata da un record CAA (Certification Authority Authorization). Per ulteriori informazioni, consulta [(Opzionale) Configurazione di un registro CAA](setup.md#setup-caa).
## La convalida non riesce per il server DNS su una VPN
Se individui un server DNS su una VPN e ACM non riesce a convalidare un certificato, verifica se il server è accessibile pubblicamente. Per l'emissione di certificati pubblici con la convalida DNS ACM è necessario che i registri di dominio siano risolvibili tramite Internet pubblico.
# Risoluzione dei problemi di convalida e-mail
Consulta la seguente guida se hai problemi nel convalidare il dominio di un certificato tramite e-mail.
**Topics**
+ [Mancata ricezione dell'e-mail di convalida](#troubleshooting-no-mail)
+ [Timestamp iniziale persistente per la convalida tramite e-mail](#initial-dates)
+ [Se non si riesce a passare alla convalida del DNS](#troubleshoot-switch-to-dns)
## Mancata ricezione dell'e-mail di convalida
Quando richiedi un certificato ad ACM e scegli la convalida e-mail, l'e-mail di convalida del dominio viene inviata ai cinque indirizzi amministrativi comuni. Per ulteriori informazioni, consulta [AWS Certificate Manager convalida e-mail](email-validation.md). In caso di problemi di ricezione dell'e-mail di convalida, consulta i suggerimenti riportati di seguito.
**Dove cercare l'e-mail**
ACM invia messaggi e-mail di convalida al nome di dominio richiesto. Puoi anche specificare un superdominio come dominio di convalida se desideri invece ricevere queste e-mail su quel dominio. Qualsiasi sottodominio fino all'indirizzo minimo del sito Web è valido e viene utilizzato come dominio per l'indirizzo e-mail come suffisso dopo @. Ad esempio, puoi ricevere un'e-mail all'indirizzo admin@example.com se specifichi example.com come dominio di convalida per subdomain.example.com. Consulta l'elenco degli indirizzi e-mail visualizzati nella console ACM (o restituiti dalla CLI o dall'API) per determinare dove trovare l'e-mail di convalida. Per visualizzare l'elenco, fai clic sull'icona accanto al nome del dominio nella casella **Validation not complete (Convalida non completata)**.
**L'e-mail è contrassegnata come spam**
Controlla la cartella spam per verificare se contiene l'e-mail di convalida.
**GMail ordina automaticamente le tue email**
**Se la utilizzi GMail, l'e-mail di convalida potrebbe essere stata ordinata automaticamente nelle schede **Aggiornamenti** o Promozioni.**
**Contattare il Centro di supporto**
Se, dopo aver esaminato i consigli precedenti, ancora non ricevi l'e-mail di convalida dei domini, visita il [Centro Supporto](https://console.aws.amazon.com/support/home) e immetti una richiesta. Se non disponi di un contratto di assistenza, pubblica un messaggio nel [Forum di discussione di ACM](https://forums.aws.amazon.com/forum.jspa?forumID=206).
## Timestamp iniziale persistente per la convalida tramite e-mail
Il timestamp della prima richiesta di convalida e-mail di un certificato persiste attraverso le richieste successive di rinnovo della convalida. Non costituisce la prova di un errore nelle operazioni ACM.
## Se non si riesce a passare alla convalida del DNS
Dopo aver creato un certificato con convalida e-mail, non è possibile passare alla convalida con DNS. Per utilizzare la convalida DNS, elimina il certificato e creane uno nuovo che utilizzi la convalida DNS.
# Risoluzione dei problemi di convalida HTTP
Consulta la seguente guida se hai problemi a convalidare un certificato con HTTP.
Il primo passaggio per la risoluzione dei problemi HTTP consiste nel verificare lo stato attuale del dominio con strumenti come i seguenti:
+ **curl** — [Linux e Windows](https://curl.se/docs/manpage.html)
+ **wget** — [Linux](https://www.gnu.org/software/wget/manual/wget.html) e Windows
**Topics**
+ [Mancata corrispondenza dei contenuti tra e località RedirectFrom RedirectTo](#http-validation-content-mismatch)
+ [CloudFront Configurazione errata](#http-validation-cloudfront-configuration)
+ [Problemi di reindirizzamento HTTP](http-validation-redirect-issues.md)
+ [Timeout di convalida](http-validation-timeout.md)
## Mancata corrispondenza dei contenuti tra e località RedirectFrom RedirectTo
Se il contenuto della `RedirectFrom` sede non corrisponde a quello della `RedirectTo` sede, la convalida avrà esito negativo. Assicurati che il contenuto sia identico per ogni dominio del certificato.
## CloudFront Configurazione errata
Assicurati che la tua CloudFront distribuzione sia configurata correttamente per servire il contenuto di convalida. Verifica che le impostazioni di origine e comportamento siano corrette e che la distribuzione sia distribuita.
# Problemi di reindirizzamento HTTP
Se utilizzi un reindirizzamento anziché pubblicare direttamente i contenuti, segui questi passaggi per verificare la configurazione.
**Per verificare la configurazione del reindirizzamento**
1. Copia l'`RedirectFrom`URL e incollalo nella barra degli indirizzi del browser.
1. In una nuova scheda del browser, incolla l'`RedirectTo`URL.
1. Confronta i contenuti di entrambi URLs per assicurarti che corrispondano esattamente.
1. Verifica che il reindirizzamento restituisca un codice di stato 302.
# Timeout di convalida
La convalida HTTP potrebbe scadere se il contenuto non è disponibile entro il periodo di tempo previsto. Per risolvere i problemi di convalida, segui questi passaggi.
**Per risolvere i problemi relativi al timeout di convalida**
1. Effettua una delle seguenti operazioni per verificare quali domini sono in attesa di convalida:
1. Apri la console ACM e visualizza la pagina dei dettagli del certificato. Cerca i domini contrassegnati come **In attesa** di convalida.
1. Chiama l'operazione `DescribeCertificate` API per visualizzare lo stato di convalida di ciascun dominio.
1. Per ogni dominio in sospeso, verifica che il contenuto di convalida sia accessibile da Internet.
# Risolvi i problemi relativi al rinnovo gestito dei certificati
ACM cerca di rinnovare automaticamente i tuoi certificati ACM prima della scadenza, in modo che non sia richiesta alcuna azione da parte tua. Consulta i seguenti argomenti in caso di problemi con [Rinnovo gestito del certificato in AWS Certificate Manager](managed-renewal.md).
## Preparazione per la convalida automatica dei domini
Prima che ACM possa rinnovare i certificati automaticamente, le seguenti condizioni devono essere soddisfatte:
+ Il certificato deve essere associato a un AWS servizio integrato con ACM. Per ulteriori informazioni sulle risorse supportate da ACM, consultare [Servizi integrati con ACM](acm-services.md).
+ Per i certificati convalidati tramite e-mail, ACM deve essere in grado di contattarti a un indirizzo e-mail amministratore per ciascun dominio elencato nel tuo certificato. Gli indirizzi e-mail che verranno provati sono elencati in [AWS Certificate Manager convalida e-mail](email-validation.md).
+ Per i certificati convalidati tramite DNS, assicurati che la configurazione DNS contenga i registri CNAME corretti come descritto in [AWS Certificate Manager Convalida DNSConvalida DNS](dns-validation.md).
+ Per i certificati con convalida HTTP, assicurati che i reindirizzamenti siano configurati come descritto in. [AWS Certificate Manager Convalida HTTP](http-validation.md)
## Gestione degli errori relativi al rinnovo gestito dei certificati
[Quando il certificato si avvicina alla scadenza (45 giorni per DNS, 45 per EMAIL e 60 giorni per Private), ACM tenta di rinnovarlo se soddisfa i criteri di idoneità.](managed-renewal.md) Affinché il rinnovo riesca, potrebbe essere necessario intraprendere delle azioni. Per ulteriori informazioni, consulta [Rinnovo gestito del certificato in AWS Certificate Manager](managed-renewal.md).
## Rinnovo gestito del certificato per i certificati convalidati tramite e-mail
I certificati ACM sono validi per 198 giorni. Il rinnovo di un certificato richiede l'intervento del proprietario del dominio. ACM inizia a inviare avvisi di rinnovo agli indirizzi e-mail associati al dominio 45 giorni prima della scadenza. Le notifiche contengono un link su cui il proprietario del dominio può fare clic per il rinnovo. Una volta convalidati tutti i domini elencati, ACM rilascia un certificato rinnovato con lo stesso ARN.
Consulta [Convalida tramite e-mail](email-validation.md) per le istruzioni su come identificare i domini che sono nello stato `PENDING_VALIDATION` e ripetere il processo di convalida per quei domini.
## Rinnovo gestito del certificato per i certificati convalidati tramite DNS
ACM non tenta la convalida TLS per i certificati convalidati da DNS. Se ACM non riesce a rinnovare un certificato convalidato tramite DNS, è molto probabilmente dovuto a registri CNAME mancanti o inesatti nella configurazione DNS. In questo caso, ACM ti avverte che il certificato non può essere rinnovato automaticamente.
**Importante**
Devi inserire i record CNAME corretti nel database DNS. Per informazioni su come fare, consulta il tuo registrar di dominio.
Puoi trovare i record CNAME per i tuoi domini espandendo il certificato e le voci di dominio nella console ACM. Fai riferimento alle illustrazioni seguenti per i dettagli. Puoi anche recuperare i record CNAME utilizzando l'[DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)operazione nell'API ACM o il [comando describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) nella CLI ACM. Per ulteriori informazioni, consulta [AWS Certificate Manager Convalida DNSConvalida DNS](dns-validation.md).
![\[Seleziona il certificato di destinazione dalla console.\]](http://docs.aws.amazon.com/it_it/acm/latest/userguide/images/Dns-renewal-1.png)
![\[Espandi la finestra del certificato per trovare le informazioni CNAME del certificato.\]](http://docs.aws.amazon.com/it_it/acm/latest/userguide/images/Dns-renewal-2.png)
Se il problema persiste, contatta il [Centro di supporto](https://console.aws.amazon.com/support).
## Rinnovo gestito dei certificati per certificati convalidati da HTTP
ACM tenta di rinnovare automaticamente i certificati con convalida HTTP. Se il rinnovo fallisce, probabilmente è dovuto a problemi con i record di convalida HTTP. In questi casi, ACM ti avvisa che il certificato non può essere rinnovato automaticamente.
**Importante**
È necessario assicurarsi che il contenuto nella `RedirectFrom` posizione corrisponda al contenuto della `RedirectTo` posizione per ogni dominio nel certificato.
Puoi trovare le informazioni di convalida HTTP per i tuoi domini espandendo il certificato e le relative voci di dominio nella console ACM. Puoi anche recuperare queste informazioni utilizzando l'[DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)operazione nell'API ACM o il comando [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) nella CLI ACM. Per ulteriori informazioni, consulta [AWS Certificate Manager Convalida HTTP](http-validation.md).
Se il problema persiste, contatta il [Centro di supporto](https://console.aws.amazon.com/support).
## Informazioni sulla tempistica di rinnovo
[Rinnovo gestito del certificato in AWS Certificate Manager](managed-renewal.md) è un processo asincrono. Ciò significa che i passaggi non si verificano consecutivamente. Dopo che tutti i nomi del dominio in un certificato ACM sono stati convalidati, potrebbe esserci un ritardo prima che ACM ottenga il nuovo certificato. Si può verificare un ritardo aggiuntivo tra il momento in cui ACM ottiene il certificato rinnovato e il momento in cui il certificato viene distribuito alle risorse AWS che lo utilizzano. Di conseguenza, è possibile che le modifiche allo stato del certificato impieghino diverse ore prima di essere visualizzate nella console.
# Risolvi altri problemi
In questa sezione vengono fornite indicazioni per i problemi non correlati al rilascio o alla convalida dei certificati ACM.
**Topics**
+ [Problemi di autorizzazione per Certification Authority (CAA)](troubleshooting-caa.md)
+ [Problemi di importazione dei certificazione](troubleshoot-import.md)
+ [Problemi di associazione dei certificati](troubleshooting-pinning.md)
+ [Problemi con API Gateway](troubleshoot-apigateway.md)
+ [Cosa fare quando un certificato smette di funzionare in modo imprevisto](unexpected-failure.md)
+ [Problemi con il ruolo collegato al servizio ACM](slr-problems.md)
# Problemi di autorizzazione per Certification Authority (CAA)
È possibile utilizzare record DNS di tipo CAA per specificare che l'autorità di certificazione (CA) di Amazon può emettere certificati ACM per il dominio e per il sottodominio. Se si riceve un messaggio di errore durante l'emissione di certificati che avvisa che **uno o più nomi di dominio non sono stati convalidati a causa di un errore relativo all'Autenticazione dell'autorità di certificazione (CAA)**, verificare i record CAA del DNS. Se si riceve questo errore dopo che la richiesta del certificato ACM è stata convalidata correttamente, sarà necessario aggiornare i registri CAA e richiedere nuovamente un certificato. Il campo **valore** deve contenere uno dei seguenti nomi di dominio in nel record CAA:
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com
Per ulteriori informazioni relative alla creazione di record CAA, consultare [(Opzionale) Configurazione di un registro CAA](setup.md#setup-caa).
**Nota**
Puoi scegliere di non configurare un record CAA per il dominio se non vuoi consentire il controllo CAA.
# Problemi di importazione dei certificazione
Puoi importare certificati di terze parti in ACM e associarli ai [servizi integrati](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html). In caso di problemi, consulta gli argomenti correlati ai [prerequisiti](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) e [al formato dei certificati](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-format.html). In particolare, tieni presente quanto segue:
+ È possibile importare solo certificati X.509 versione 3. SSL/TLS
+ Il certificato può essere autofirmato oppure può essere firmato da un'autorità di certificazione (CA).
+ Se il certificato è firmato da una CA, devi includere una catena di certificati intermedia che fornisce un percorso alla radice dell'autorità.
+ Se il certificato è autofirmato, devi includere la chiave privata in testo normale.
+ Ogni certificato nella catena deve certificare direttamente quello precedente.
+ Non includere il certificato dell'entità finale nella catena di certificati intermedia.
+ I tuoi certificati, la catena di certificati e la chiave privata devono essere codificati con PEM. In generale, la codifica PEM è costituita da blocchi di testo ASCII codificati Base64 che iniziano e terminano con header e footer di testo normale. Non è necessario aggiungere righe o spazi o apportare altre modifiche a un file PEM durante la copia o il caricamento. È possibile verificare le catene di certificati utilizzando l'[utility di verifica OpenSSL](https://www.openssl.org/docs/manmaster/man1/openssl-verify.html).
+ La chiave privata (se presente) non deve essere crittografata. (Suggerimento: se ha una passphrase, è crittografata.)
+ I servizi [integrati](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) con ACM devono utilizzare algoritmi e dimensioni delle chiavi supportati da ACM-supported. Consulta la Guida per l' AWS Certificate Manager utente e la documentazione di ciascun servizio per assicurarti che il certificato funzioni.
+ Il supporto del certificato da parte dei servizi integrati può variare a seconda se il certificato è importato in IAM o in ACM.
+ Il certificato deve essere valido quando viene importato.
+ Le informazioni dettagliate per tutti i tuoi certificati sono visualizzate nella console. Per impostazione predefinita, tuttavia, se richiami l'[ListCertificates](https://docs.aws.amazon.com/acm/latest/APIReference/API_ListCertificates.html)API o il AWS CLI comando [list-certificates](https://docs.aws.amazon.com/cli/latest/reference/acm/list-certificates.html) senza specificare il `keyTypes` filtro, vengono visualizzati solo `RSA_1024` o `RSA_2048` i certificati.
# Problemi di associazione dei certificati
Per rinnovare un certificato, ACM genera una nuova coppia di chiavi di accesso pubblica-privata. Se l'applicazione utilizza[Associazione dei certificati](acm-bestpractices.md#best-practices-pinning), a volte noto come pinning SSL, per bloccare un certificato ACM, l'applicazione potrebbe non essere in grado di connettersi al dominio dopo il rinnovo del certificato. AWS Per questo motivo, ti consigliamo di non associare un certificato ACM. Se la tua applicazione deve associare un certificato, puoi eseguire quanto indicato di seguito:
+ [Importa il tuo certificato su ACM](import-certificate.md), quindi associa l'applicazione al certificato importato. ACM non fornisce il rinnovo gestito per i certificati importati.
+ Se stai utilizzando un certificato pubblico, aggiungi la tua applicazione a tutti i [ certificati root Amazon](https://www.amazontrust.com/repository/) disponibili. Se stai utilizzando un certificato privato, aggiungi la tua applicazione a un certificato root CA.
# Problemi con API Gateway
Quando distribuisci un endpoint API *ottimizzato per l'edge, API Gateway* imposta CloudFront una distribuzione per te. La CloudFront distribuzione è di proprietà di API Gateway, non del tuo account. La distribuzione è associata al certificato ACM utilizzato per la distribuzione dell'API. Per rimuovere l'associazione e permettere ad ACM di eliminare il certificato, devi rimuovere il dominio personalizzato API Gateway associato al certificato.
Quando implementi un endpoint API *regionale*, API Gateway crea un Application Load Balancer (ALB) a tuo nome. Il load balancer è di proprietà di API Gateway e non è visibile a te. L'ALB è associato al certificato ACM utilizzato per la distribuzione dell'API. Per rimuovere l'associazione e permettere ad ACM di eliminare il certificato, devi rimuovere il dominio personalizzato API Gateway associato al certificato.
# Cosa fare quando un certificato smette di funzionare in modo imprevisto
Se un certificato ACM è stato associato correttamente a un servizio integrato ma il certificato smette di funzionare e il servizio integrato inizia a restituire errori, la causa potrebbe essere una modifica delle autorizzazioni necessarie al servizio per utilizzare un certificato ACM.
Ad esempio, Elastic Load Balancing (ELB) richiede l'autorizzazione per decrittografare e, a sua volta, decripta la chiave privata del certificato. AWS KMS key Questa autorizzazione viene concessa da una policy basata sulle risorse che ACM applica quando si associa un certificato a ELB. Se ELB perde la concessione per tale autorizzazione, non riuscirà al successivo tentativo a decrittare la chiave del certificato.
Per esaminare il problema, controlla lo stato delle tue sovvenzioni utilizzando la console all'indirizzo. AWS KMS [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) Esegui una delle seguenti azioni:
+ Se ritieni che le autorizzazioni concesse a un servizio integrato siano state revocate, visita la console del servizio integrato, dissocia il certificato dal servizio, quindi associalo nuovamente. In questo modo sarà riapplicata la policy basata sulle risorse e sarà concessa una nuova autorizzazione.
+ Se ritieni che le autorizzazioni concesse ad ACM siano state revocate, contatta at home\$1/. Supporto https://console.aws.amazon.com/support/
# Problemi con il ruolo collegato al servizio ACM
[Quando emetti un certificato firmato da una CA privata che è stato condiviso con te da un altro account, ACM tenta al primo utilizzo di impostare un ruolo collegato al servizio (SLR) per interagire come principale con una politica di accesso basata sulle risorse. CA privata AWS](https://docs.aws.amazon.com/privateca/latest/userguide/pca-resource-sharing.html#pca-rbp) Se rilasci un certificato privato da una CA condivisa e l'SLR non è disponibile, ACM non sarà in grado di rinnovare automaticamente tale certificato.
ACM potrebbe avvisarti che non è in grado di determinare se esiste un SLR sul tuo account. Se l'autorizzazione `iam:GetRole` richiesta è già stata concessa ad ACM SLR per il tuo account, l'avviso non si ripeterà dopo la creazione del SLR. In caso di ripetizione, l'utente o l'amministratore dell'account potrebbe essere necessario concedere l'autorizzazione `iam:GetRole` ad ACM o associare il proprio account con il `AWSCertificateManagerFullAccess` della policy gestito da ACM.
Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
# Gestione delle eccezioni
Un AWS Certificate Manager comando potrebbe non riuscire per diversi motivi. Per informazioni su ciascuna eccezione, vedi la tabella riportata di seguito.
## Gestione delle eccezioni per i certificati privati
Le seguenti eccezioni possono verificarsi quando si tenta di rinnovare un certificato PKI privato emesso da. CA privata AWS
**Nota**
CA privata AWS non è supportato nella regione Cina (Pechino) e nella regione Cina (Ningxia).
| Codice di errore ACM | Comment |
| --- | --- |
| `PCA_ACCESS_DENIED` | La CA privata non dispone delle autorizzazioni ACM. Ciò attiva un CA privata AWS `AccessDeniedException` codice di errore. Per risolvere il problema, concedi le autorizzazioni necessarie al responsabile del servizio ACM che utilizza l'operazione. CA privata AWS [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html) |
| `PCA_INVALID_DURATION` | Il periodo di validità del certificato richiesto supera il periodo di validità della CA privata emittente. Ciò attiva un CA privata AWS `ValidationException` codice di errore. Per risolvere il problema, [installa un nuovo certificato CA](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html) con un periodo di validità appropriato. |
| `PCA_INVALID_STATE` | La CA privata chiamata non è nello stato corretto per eseguire l'operazione ACM richiesta. Ciò attiva un codice di CA privata AWS `InvalidStateException` errore. Risolvere il problema come segue: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/acm/latest/userguide/exceptions.html) |
| `PCA_LIMIT_EXCEEDED` | La CA privata ha raggiunto una quota di emissione. Ciò attiva un codice di CA privata AWS `LimitExceededException` errore. Prova a ripetere la richiesta prima di procedere con questa guida. Se l'errore persiste, contatta [Supporto](https://console.aws.amazon.com/support/home#/) per richiedere un aumento della quota. |
| `PCA_REQUEST_FAILED` | Si è verificato un errore di rete o di sistema. Ciò attiva un codice di CA privata AWS `RequestFailedException` errore. Prova a ripetere la richiesta prima di procedere con questa guida. Se l'errore persiste, contatta [Supporto](https://console.aws.amazon.com/support/home#/). |
| `PCA_RESOURCE_NOT_FOUND` | La CA privata è stata eliminata definitivamente. Ciò attiva un codice di CA privata AWS `ResourceNotFoundException` errore. Verifica di aver utilizzato l'ARN corretto. Se ciò non riesce, non potrai utilizzare questa CA. Per risolvere il problema, [crea una nuova CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCreateCa.html). |
| SLR\$1NOT\$1FOUND | Per rinnovare un certificato firmato da una CA privata in un altro account, ACM richiede un ruolo collegato al servizio (SLR) sull'account in cui si trova il certificato. Se è necessario ricreare un SLR eliminato, consulta [Creazione del SLR per ACM](acm-slr.md#create-slr). |