기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# DNS 검증 문제 해결
<a name="troubleshooting-DNS-validation"></a>

DNS로 인증서를 검증하는 경우 다음 지침을 참조하세요.

DNS 문제 해결의 첫 번째 단계는 다음과 같은 도구를 사용하여 도메인의 현재 상태를 확인하는 것입니다.
+ **dig** — [Linux](https://linux.die.net/man/1/dig), [Windows](https://help.dyn.com/how-to-use-binds-dig-tool/)
+ **nslookup** — [Linux](https://linux.die.net/man/1/nslookup), [Windows](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/nslookup)

**Topics**
+ [DNS 공급자가 금지하는 밑줄](#underscores-prohibited)
+ [DNS 공급자가 추가한 기본 후행 기간](#troubleshooting-trailing-period)
+ [GoDaddy의 DNS 검증 실패](#troubleshooting-DNS-GoDaddy)
+ [ACM 콘솔에서 ‘Route 53에 레코드 생성’ 버튼이 나타나지 않음](#troubleshooting-route53-1)
+ [프라이빗(신뢰할 수 없는) 도메인에서 Route 53 검증 실패](#troubleshooting-route53-2)
+ [DNS 검증이 성공했지만 발급 또는 갱신이 실패한 경우](#troubleshooting-dns-pending-violation)
+ [VPN에서 DNS 서버 검증 실패](#troubleshooting-vpn)

## DNS 공급자가 금지하는 밑줄
<a name="underscores-prohibited"></a>

DNS 공급자가 CNAME 값의 앞에 붙는 밑줄을 금지하는 경우, ACM에서 제공하는 값에서 밑줄을 삭제한 상태에서 도메인을 검증할 수 있습니다. 예를 들어, 검증을 위해 CNAME 값 `_x2.acm-validations.aws`를 `x2.acm-validations.aws`로 변경할 수 있습니다. 단, CNAME 이름 파라미터는 항상 밑줄로 시작해야 합니다.

도메인 검증 시 아래의 표에서 오른쪽에 있는 값 중 하나를 사용할 수 있습니다.


|  이름  |  Type  |  값  | 
| --- | --- | --- | 
|  `_<random value>.example.com.`  |  CNAME  |  `_<random value>.acm-validations.aws.`  | 
|  `_<random value>.example.com.`  |  CNAME  |  `<random value>.acm-validations.aws.`  | 

## DNS 공급자가 추가한 기본 후행 기간
<a name="troubleshooting-trailing-period"></a>

일부 DNS 공급자는 사용자가 제공하는 CNAME 값에 후행 기간을 기본적으로 추가합니다. 따라서 기간을 직접 추가하면 오류가 발생합니다. 예를 들어 ”`<random_value>.acm-validations.aws.`“는 거부되지만 ”`<random_value>.acm-validations.aws`“는 허용됩니다.

## GoDaddy의 DNS 검증 실패
<a name="troubleshooting-DNS-GoDaddy"></a>

ACM에서 제공하는 CNAME 값을 수정하지 않는 한 Godaddy 및 기타 레지스트리에 등록된 도메인에 대한 DNS 검증이 실패할 수 있습니다. example.com을 도메인 이름으로 간주하면 발급된 CNAME 레코드의 형식이 다음과 같습니다.

```
NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
```

다음과 같이 NAME 필드의 끝에서 apex 도메인(마침표 포함)을 잘라내서 GoDaddy와 호환되는 CNAME 레코드를 만들 수 있습니다.

```
NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
```

## ACM 콘솔에서 ‘Route 53에 레코드 생성’ 버튼이 나타나지 않음
<a name="troubleshooting-route53-1"></a>

Amazon Route 53를 DNS 공급자로 선택하면가 해당 공급자와 직접 상호 작용하여 도메인 소유권을 검증할 AWS Certificate Manager 수 있습니다. 경우에 따라 콘솔의 **Route 53에 레코드 생성** 버튼을 정상적으로 사용하지 못할 수도 있습니다. 이러한 일이 발생할 경우, 다음 발생 가능 원인을 확인합니다.
+ Route 53을 DNS 공급자로 사용하지 않고 있습니다.
+ 다른 계정들을 통해 ACM 및 Route 53으로 로그인했습니다.
+ Route 53에서 호스팅한 영역에 레코드를 생성하기 위한 IAM 권한이 부족합니다.
+ 사용자 또는 누군가가 이미 도메인을 검증했습니다.
+ 도메인은 공개적으로 주소를 지정할 수 없습니다.

## 프라이빗(신뢰할 수 없는) 도메인에서 Route 53 검증 실패
<a name="troubleshooting-route53-2"></a>

DNS 검증 중에 ACM은 공개적으로 호스팅되는 영역에서 CNAME를 검색합니다. 검색되지 않으면 72시간 후에 시간이 초과되어 **검증 시간 초과** 상태가 됩니다. Amazon VPC [프라이빗 호스팅 영역](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones), 프라이빗 PKI에서 신뢰할 수 없는 도메인, 자체 서명된 인증서 내의 리소스를 포함하는 프라이빗 도메인에 대한 DNS 레코드를 호스팅하는 데 이를 사용할 수 없습니다.

AWS 는 [AWS Private CA](https://aws.amazon.com/certificate-manager/private-certificate-authority/) 서비스를 통해 공개적으로 신뢰할 수 없는 도메인에 대한 지원을 제공합니다.

## DNS 검증이 성공했지만 발급 또는 갱신이 실패한 경우
<a name="troubleshooting-dns-pending-violation"></a>

DNS가 올바른데도 "검증 보류 중"과 함께 인증서 발급이 실패하는 경우 인증 기관 권한 부여(CAA) 레코드에 의해 발급이 차단되고 있지 않은지 확인하세요. 자세한 내용은 [(선택 사항) CAA 레코드 구성](setup.md#setup-caa) 단원을 참조하십시오.

## VPN에서 DNS 서버 검증 실패
<a name="troubleshooting-vpn"></a>

VPN에서 DNS 서버를 찾았는데 ACM이 해당 DNS 서버에 대해 인증서를 검증하지 못할 경우, 서버에 공개적으로 액세스할 수 있는지 확인합니다. ACM DNS 검증을 사용하여 퍼블릭 인증서를 발급하려면 퍼블릭 인터넷을 통해 도메인 레코드를 확인할 수 있어야 합니다.