翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# DNS 検証の問題のトラブルシューティング
証明書の DNS 検証で問題が発生した場合は、次のガイダンスを参照してください。
DNS トラブルシューティングの最初のステップは、以下のようなツールを使用してドメインの現在のステータスを確認することです。
+ **dig** — [Linux](https://linux.die.net/man/1/dig)、[Windows](https://help.dyn.com/how-to-use-binds-dig-tool/)
+ **nslookup** — [Linux](https://linux.die.net/man/1/nslookup)、[Windows](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/nslookup)
**Topics**
+ [DNS プロバイダーがアンダースコアを禁止している](#underscores-prohibited)
+ [DNS プロバイダーによって追加されたデフォルトの末尾のピリオド](#troubleshooting-trailing-period)
+ [GoDaddy での DNS 検証に失敗する](#troubleshooting-DNS-GoDaddy)
+ [ACM コンソールで [Create record in Route 53] ボタンが表示されない](#troubleshooting-route53-1)
+ [プライベート (信頼されていない) ドメインで Route 53 検証が失敗する](#troubleshooting-route53-2)
+ [検証は成功したが、発行または更新に失敗する](#troubleshooting-dns-pending-violation)
+ [VPN で DNS サーバーの検証が失敗する](#troubleshooting-vpn)
## DNS プロバイダーがアンダースコアを禁止している
DNS プロバイダーがアンダースコアで始まる CNAME 値を禁止している場合は、ACM によって提供された値からアンダースコアを削除し、ドメインを検証してください。たとえば、CNAME 値 `_x2.acm-validations.aws` を検証目的で `x2.acm-validations.aws` に変更できます。ただし、CNAME name パラメータは常にアンダースコアで始まる必要があります。
下の表の右側のいずれかの値を使用して、ドメインを検証できます。
| 名前 | タイプ | 値 |
| --- | --- | --- |
| `_.example.com.` | CNAME | `_.acm-validations.aws.` |
| `_.example.com.` | CNAME | `.acm-validations.aws.` |
## DNS プロバイダーによって追加されたデフォルトの末尾のピリオド
一部の DNS プロバイダーは、デフォルトで、指定した CNAME 値に末尾のピリオドを追加します。その結果、自分でピリオドを追加するとエラーが発生します。たとえば、「`.acm-validations.aws.`」は拒否されますが、「`.acm-validations.aws`」は受け入れられます。
## GoDaddy での DNS 検証に失敗する
Godaddy およびその他のレジストリに登録されているドメインの DNS 検証は、ACM が提供している CNAME 値を変更しない限り、失敗することがあります。たとえば example.com をドメイン名として使用している場合、発行される CNAME レコードは次の形式になります。
```
NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
```
GoDaddy と互換性のある CNAME レコードを作成するには、次に示すように、[NAME] フィールドの末尾で apex ドメイン (ピリオドを含む) を切り捨てます。
```
NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
```
## ACM コンソールで [Create record in Route 53] ボタンが表示されない
DNS プロバイダーとして Amazon Route 53 を選択した場合、 AWS Certificate Manager は直接操作してドメインの所有権を検証できます。状況によっては、予想に反してコンソールの [**Create records in Route 53**] ボタンが利用できない場合があります。このような場合には以下の原因が考えられますので、確認してください。
+ DNS プロバイダーとして Route 53 を使用していない。
+ さまざまなアカウントを通じて ACM および Route 53 にログインしている。
+ Route 53 によりホストされるゾーンでレコードを作成する IAM アクセス許可を持っていない。
+ ユーザーまたは第三者によりすでにドメインが検証されている。
+ ドメインがパブリックにアドレス解決できない。
## プライベート (信頼されていない) ドメインで Route 53 検証が失敗する
DNS 検証中に、ACM はパブリックホストゾーンで CNAME を検索します。見つからなかった場合、72 時間後にタイムアウトし、[**検証タイムアウト**] ステータスになります。プライベート PKI 内の信頼されていないドメインなどの Amazon VPC [プライベートホストゾーン](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones)または自己署名証明書では、それを使用して DNS レコードをホストすることはできません。
AWS は、 [AWS Private CA](https://aws.amazon.com/certificate-manager/private-certificate-authority/)サービスを通じてパブリックに信頼されていないドメインをサポートします。
## 検証は成功したが、発行または更新に失敗する
DNS が正しいにもかかわらず、証明書の発行が「検証保留中」で失敗した場合は、CAA レコードによって発行がブロックされていないことを確認します。詳しくは、[(オプション) CAA レコードの設定](setup.md#setup-caa) を参照してください。
## VPN で DNS サーバーの検証が失敗する
VPN で DNS サーバーを検索し、ACM がそのサーバーに対して証明書の検証に失敗した場合は、サーバーがパブリックにアクセスできるかどうかを確認します。ACM DNS 検証を使用したパブリック証明書の発行では、ドメインレコードがパブリックインターネット経由で解決可能であることが必要です。