はじめに

先日、ACMでパブリック証明書をリクエストした際に遭遇した出来事です。

状況

ACMにてパブリック証明書をリクエストしましたが、ステータスが「保留中の検証」のまま変化しません。
ドメインは Route 53に登録しており、DNS検証で指定された CNAMEレコードを作成しています。

原因

当該ドメインのネームサーバーが、想定と異なっていました。
Route 53のホストゾーンで DNSレコードを管理している想定でしたが、ドメインのネームサーバーに当該ホストゾーンのネームサーバーの値が登録されていないことにより、名前解決に失敗していました。

確認方法

Windows の場合、コマンドプロンプトを起動し、以下のコマンドでドメインのネームサーバーを確認します。

nslookup -type=ns example.com (当該ドメインを入力)

nameserver = に出力される値が、当該ドメインのネームサーバーです。

権限のない回答:
example.com     nameserver = a.iana-servers.net
example.com     nameserver = b.iana-servers.net

上記の例では「a.iana-servers.net」「b.iana-servers.net」が、それぞれ「example.com」ドメインのネームサーバーであることを示しています。
こちらの値と、CNAMEレコードを作成した Route 53の NSレコード値が異なっていることを確認しました。

解決方法

当該ドメインは Route 53のホストゾーンで管理する想定でしたので、ドメインのネームサーバーを変更することで解決しました。
なお、ネームサーバーの変更が反映されるまでには数日程度かかる可能性がありますので、注意が必要です。
コマンドプロンプトにて以下のコマンドを入力し、DNS検証で指定された CNAME値が返却されれば問題ありません。

nslookup -type=cname _xxxxxxxxxxxxx.example.com (DNS検証で指定されたCNAME名を入力)

参考資料

ドメインのネームサーバーおよびグルーレコードの追加あるいは変更 – Amazon Route 53