Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Valider la propriété du domaine pour les certificats AWS Certificate Manager publics
<a name="domain-ownership-validation"></a>

Avant que l'autorité de certification Amazon ne puisse émettre un certificat pour votre site, AWS Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les noms de domaine spécifiés dans votre demande. Vous pouvez choisir de prouver que vous en êtes le propriétaire en validant le système de noms de domaine (DNS), la validation par e-mail ou la validation HTTP lorsque vous demandez un certificat.

**Note**  
La validation s'applique uniquement aux certificats approuvés publiquement émis par ACM. ACM ne valide pas la propriété du domaine pour les [certificats importés](import-certificate.md) ou pour les certificats signés par une autorité de certification privée. ACM ne peut pas valider les ressources dans une [zone privée hébergée](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) Amazon VPC ou tout autre domaine privé. Pour de plus amples informations, veuillez consulter [Résoudre les problèmes de validation des certificats](certificate-validation.md).

Nous recommandons d'utiliser la validation DNS plutôt que la validation par e-mail pour les raisons suivantes :
+ Si vous utilisez Amazon Route 53 pour gérer vos enregistrements DNS publics, vous pouvez mettre à jour vos enregistrements directement via ACM.
+ ACM renouvelle automatiquement les certificats qui ont fait l'objet d'une validation DNS tant que le certificat est utilisé et que l'enregistrement DNS est en place.
+ Les certificats validés par e-mail nécessitent une action du propriétaire du domaine pour être renouvelés. ACM commence à envoyer des avis de renouvellement 45 jours avant l'expiration. Ces notifications sont envoyées à une ou plusieurs des cinq adresses d'administrateur courantes du domaine. Les notifications contiennent un lien sur lequel le propriétaire du domaine peut cliquer pour un renouvellement facile. Une fois tous les domaines répertoriés validés, ACM émet un certificat renouvelé avec le même ARN.

Si vous ne pouvez pas modifier la base de données DNS de votre domaine, vous devez plutôt utiliser [la validation par e-mail](email-validation.md).

La validation HTTP est disponible pour les certificats utilisés avec CloudFront. Cette méthode utilise des redirections HTTP pour prouver la propriété du domaine et propose un renouvellement automatique similaire à la validation DNS.

**Note**  
Une fois que vous avez créé un certificat avec une validation par e-mail, vous ne pouvez pas passer à sa validation avec DNS. Pour utiliser la validation DNS, supprimez le certificat, puis créez-en un nouveau qui utilise la validation DNS.

**Topics**
+ [AWS Certificate Manager Validation du DNS](dns-validation.md)
+ [AWS Certificate Manager validation par e-mail](email-validation.md)
+ [AWS Certificate Manager Validation HTTP](http-validation.md)

# AWS Certificate Manager Validation du DNS
<a name="dns-validation"></a>

Le système de noms de domaine (DNS) est un service d'annuaire dédié aux ressources connectées à un réseau. Votre fournisseur DNS gère une base de données contenant les enregistrements qui définissent votre domaine. Lorsque vous choisissez la validation DNS, ACM vous fournit un ou plusieurs enregistrements CNAME qui doivent être ajoutés à cette base de données. Ces enregistrements contiennent une paire clé-valeur unique qui prouve que vous contrôlez le domaine.

**Note**  
Une fois que vous avez créé un certificat avec une validation par e-mail, vous ne pouvez pas passer à sa validation avec DNS. Pour utiliser la validation DNS, supprimez le certificat, puis créez-en un nouveau qui utilise la validation DNS.

Par exemple, si vous demandez un certificat pour le domaine `example.com` avec `www.example.com` comme nom supplémentaire, ACM crée deux enregistrements CNAME pour vous. Chacun des enregistrements créés spécifiquement pour votre domaine et votre compte contient un nom et une valeur. La valeur est un alias qui pointe vers un AWS domaine qu'ACM utilise pour renouveler automatiquement votre certificat. Les enregistrements CNAME ne doivent être ajoutés qu'une seule fois à votre base de données DNS. ACM renouvelle automatiquement votre certificat tant qu'il est utilisé et que votre enregistrement CNAME reste en place. 

**Important**  
Si vous n'utilisez pas Amazon Route 53 pour gérer vos enregistrements DNS publics, contactez votre fournisseur DNS pour savoir comment ajouter des enregistrements. Si vous n'êtes pas autorisé à modifier la base de données DNS de votre domaine, utilisez plutôt la [validation par e-mail](email-validation.md).

Sans avoir à répéter la validation, vous pouvez demander des certificats ACM supplémentaires pour votre nom de domaine complet (FQDN) tant que l'enregistrement CNAME reste en place. En d'autres termes, vous pouvez créer des certificats de remplacement portant le même nom de domaine, ou des certificats couvrant différents sous-domaines. Comme le jeton de validation CNAME fonctionne pour toutes les AWS régions, vous pouvez recréer le même certificat dans plusieurs régions. Vous pouvez également remplacer un certificat supprimé. 

Vous pouvez arrêter le renouvellement automatique en supprimant le certificat du service AWS auquel il est associé ou en supprimant l'enregistrement CNAME. Si Route 53 n'est pas votre fournisseur DNS, contactez votre fournisseur pour savoir comment supprimer un enregistrement. Si Route 53 est votre fournisseur, consultez [Suppression de jeux d'enregistrements de ressources](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-deleting.html) dans le *Guide du développeur Route 53*. Pour plus d'informations sur le renouvellement de certificats gérés, consultez [Renouvellement géré des certificats dans AWS Certificate Manager](managed-renewal.md). 

**Note**  
La résolution CNAME échouera si plus de cinq CNAMEs sont enchaînés dans votre configuration DNS. Si vous avez besoin d'un enchaînement plus long, nous vous recommandons d'utiliser la [validation par e-mail](email-validation.md).

## Fonctionnement des enregistrements CNAME pour ACM
<a name="cnames-overview"></a>

**Note**  
Cette section s'adresse aux clients qui n'utilisent pas Route 53 comme fournisseur DNS.

Si vous n'utilisez pas Route 53 comme fournisseur DNS, vous devez entrer manuellement les enregistrements CNAME fournis par ACM dans la base de données de votre fournisseur, généralement via un site web. Les enregistrements CNAME sont utilisés à différentes fins, notamment comme mécanismes de redirection et comme conteneurs pour les métadonnées spécifiques au fournisseur. Pour ACM, ces enregistrements permettent la validation initiale de la propriété du domaine et le renouvellement automatisé continu des certificats. 

Le tableau suivant présente des exemples d'enregistrements CNAME pour six noms de domaine. La paire **Nom de l'enregistrement**-**Valeur de l'enregistrement** de chaque enregistrement sert à authentifier la propriété du nom de domaine. 

Dans le tableau, notez que les deux premières paires **Nom de l'enregistrement**-**Valeur de l'enregistrement** sont identiques. Cela montre que pour un domaine générique, par exemple`*.example.com`, les chaînes créées par ACM sont les mêmes que celles créées pour son domaine de base. `example.com` Sinon, la paire **Nom de l'enregistrement**-**Valeur de l'enregistrement**diffère pour chaque nom de domaine.


**Exemples d'enregistrements CNAME**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/acm/latest/userguide/dns-validation.html)

Les *xN* valeurs qui suivent le trait de soulignement (\$1) sont de longues chaînes générées par ACM. Par exemple, 

```
_3639ac514e785e898d2646601fa951d5.example.com.
```

est représentatif d'un résultat généré pour le **Nom de l'enregistrement**. La **Valeur de l'enregistrement** associée pourrait être

```
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
```

pour le même enregistrement DNS.

**Note**  
Si votre fournisseur DNS ne prend pas en charge les valeurs CNAME comportant un trait de soulignement de début, consultez [Résolution des problèmes liés à la validation DNS](troubleshooting-DNS-validation.md).

Lorsque vous effectuez une demande de certificat avec validation DNS, ACM fournit des informations CNAME au format suivant :


****  

| Nom de domaine | Nom de l'enregistrement | Type d'enregistrement | Valeur de l'enregistrement | 
| --- | --- | --- | --- | 
| example.com | \$1a79865eb4cd1a6ab990a45779b4e0b96.example.com. | CNAME |  \$1424c7224e9b0146f9a8808af955727d0.acm-validations.aws.  | 

Le *Nom de domaine* est le nom de domaine complet associé au certificat. Le *Nom de l'enregistrement* identifie l'enregistrement de manière unique, en servant de clé dans la paire clé-valeur. La *Valeur d'enregistrement* sert de valeur dans la paire clé-valeur. 

Ces trois valeurs (*Domain Name* (Nom de domaine), *Record Name* (Nom d'enregistrement), and *Record Value* (Valeur d'enregistrement)) doivent être entrées dans les champs appropriés de l'interface web de votre fournisseur DNS pour ajouter des enregistrements DNS. Les fournisseurs ne traitent pas nom de l'enregistrement (ou « nom ») de la même manière. Dans certains cas, vous devez fournir la chaîne entière comme illustré ci-dessus. D'autres fournisseurs ajoutent automatiquement le nom de domaine à la chaîne que vous entrez, ce qui signifie (dans cet exemple) que vous ne devez entrer que

```
_a79865eb4cd1a6ab990a45779b4e0b96
```

dans le champ de nom. Si vous vous trompez et que vous saisissez un nom d'enregistrement qui contient un nom de domaine (tel que *`.example.com`*), vous risquez de vous retrouver avec ce qui suit :

```
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
```

Dans ce cas, la validation échouera. Par conséquent, vous devez essayer de déterminer à l'avance quel type de données votre fournisseur attend.

## Configuration de la validation DNS
<a name="setting-up-dns-validation"></a>

Cette section décrit comment configurer un certificat public pour utiliser la validation DNS.<a name="dns-validation-console"></a>

**Pour configurer la validation DNS sur la console**
**Note**  
Cette procédure suppose que vous avez déjà créé au moins un certificat et que vous travaillez dans la AWS région où vous l'avez créé. Si vous essayez d'ouvrir la console et que l'écran de première utilisation s'affiche à la place, ou si vous réussissez à ouvrir la console et que votre certificat ne figure pas dans la liste, vérifiez que vous avez spécifié la bonne région.

1. Ouvrez la console ACM à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.

1. Dans la liste des certificats, choisissez l’**ID de certificat** d'un certificat avec statut **Validation en attente** que vous souhaitez configurer. Cette opération ouvre une page d’informations pour le certificat.

1. Dans la section **Domaines**, effectuez l'une des deux procédures suivantes :

   1. (Facultatif) Validez à l'aide de Route 53.

      Un bouton **Créer des enregistrements dans Route 53** actif apparaît si les conditions suivantes sont réunies :
      + Vous utilisez Route 53 comme fournisseur DNS.
      + Vous disposez de l'autorisation nécessaire pour écrire dans la zone hébergée par Route 53.
      + Votre nom de domaine complet (FQDN) *n'a pas* encore été validé.
**Note**  
Si vous utilisez effectivement la Route 53 mais que l'option **Créer des enregistrements dans Route 53** est absente ou désactivée, consultez[La console ACM n'affiche pas le bouton « Créer des enregistrements dans Route 53 »](troubleshooting-DNS-validation.md#troubleshooting-route53-1). 

      Choisissez **Créer des enregistrements dans Route 53**, puis sélectionnez **Créer des enregistrements**. La page **Status du certificat** doit s'ouvrir avec un rapport de bannière d'état **Enregistrements DNS créés avec succès**.

      Votre nouveau certificat doit rester affiché avec le statut **Validation en attente** pendant au moins 30 minutes.
**Astuce**  
Actuellement, vous ne pouvez pas demander par programmation la création automatique par ACM de votre enregistrement dans Route 53. Vous pouvez toutefois effectuer un appel AWS CLI d'API à Route 53 pour créer l'enregistrement dans la base de données DNS Route 53. Pour plus d'informations sur les jeux d'enregistrements Route 53, consultez [Utilisation de jeux d'enregistrements de ressources](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html).

   1. (Facultatif) Si vous n'utilisez pas Route 53 comme fournisseur DNS, vous devez récupérer les informations CNAME et les ajouter à votre base de données DNS. Sur la page de détails du nouveau certificat, effectuez cette opération de deux manières :
      + Copiez les composants CNAME affichés dans la section **Domaines**. Ces informations doivent être ajoutées manuellement à votre base de données DNS.
      + Sinon, choisissez **Export to CSV** (Exporter vers CSV). Les informations contenues dans le fichier doivent être ajoutées manuellement à votre base de données DNS.
**Important**  
Pour éviter les problèmes de validation, vérifiez [Fonctionnement des enregistrements CNAME pour ACM](#cnames-overview) avant d'ajouter des informations à la base de données de votre fournisseur DNS. Si vous rencontrez des problèmes, consultez [Résolution des problèmes liés à la validation DNS](troubleshooting-DNS-validation.md). 

Si ACM n'est pas en mesure de valider le nom de domaine dans les 72 heures qui suivent la génération d'une valeur CNAME, le statut du certificat est remplacé par **Validation expirée**. La raison la plus probable de ce résultat est que vous n'avez pas réussi à mettre à jour votre configuration DNS avec la valeur générée par ACM. Pour remédier à ce problème, vous devez demander un nouveau certificat après avoir examiné les instructions relatives au CNAME.

# AWS Certificate Manager validation par e-mail
<a name="email-validation"></a>

Avant que l'autorité de certification (CA) d'Amazon ne puisse émettre un certificat pour votre site, AWS Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez tous les domaines que vous avez indiqués dans votre demande. Vous pouvez effectuer la vérification par e-mail ou à l'aide du DNS. Cette rubrique traite de la validation par e-mail.

Si vous rencontrez des problèmes lors de l'utilisation de la validation par e-mail, veuillez consulter [Résolution des problèmes liés à la validation par courriel](troubleshooting-email-validation.md).

## Comment fonctionne la validation des e-mails
<a name="how-email-validation-works"></a>

ACM envoie des e-mails de validation aux cinq e-mails système courants suivants pour chaque domaine. Vous pouvez également spécifier un superdomaine comme domaine de validation si vous souhaitez plutôt recevoir ces e-mails sur ce domaine. Tout sous-domaine inférieur à l'adresse minimale du site Web est valide et est utilisé comme domaine pour l'adresse e-mail en tant que suffixe suivant. `@` Par exemple, vous pouvez recevoir un e-mail à admin@example.com si vous spécifiez exemple.com comme domaine de validation pour sous-domain.exemple.com.
+ administrator@votre\$1nom\$1domaine
+ hostmaster@votre\$1nom\$1domaine
+ postmaster@votre\$1nom\$1domaine
+ webmaster@votre\$1nom\$1domaine
+ admin@votre\$1nom\$1domaine

Pour prouver que vous êtes propriétaire du domaine, vous devez sélectionner le lien de validation inclus dans ces e-mails. ACM envoie également des e-mails de validation à ces mêmes adresses pour renouveler le certificat 45 jours après son expiration.

La validation par e-mail des demandes de certificats multidomaines à l'aide de l'API ACM ou de la CLI entraîne l'envoi d'un message électronique par chaque domaine demandé, même si la demande inclut des sous-domaines d'autres domaines dans la demande. Avant qu'ACM puisse émettre le certificat, le propriétaire des domaines doit valider un message électronique pour chacun de ces domaines.

**Exception à ce processus**  
Si vous demandez un certificat ACM pour un nom de domaine commençant par **www** ou un astérisque générique (**\$1**), ACM supprime le début **www** ou l'astérisque et envoie un e-mail aux adresses administratives. Ces adresses sont formées en ajoutant admin@, administrator@, hostmaster@, postmaster@ et webmaster@ à la partie restante du nom de domaine. Par exemple, si vous demandez un certificat ACM pour www.example.com, l’e-mail n'est pas envoyé à admin@www.example.com mais à admin@example.com. De même, si vous demandez un certificat ACM pour \$1.test.example.com, l’e-mail est envoyé à admin@test.example.com. Les adresses administratives courantes restantes sont formées de la même manière.

**Important**  
ACM ne prend plus en charge la validation des e-mails WHOIS pour les nouveaux certificats ou les renouvellements. Les adresses système communes restent prises en charge. Pour plus de détails, voir le billet de [blog](https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/).

## Considérations
<a name="certificate-considerations"></a>

Prenez en compte les considérations suivantes concernant la validation par e-mail.
+ Pour pouvoir utiliser la validation par e-mail, vous devez disposer d'une adresse électronique valide enregistrée dans votre domaine. Les procédures à suivre pour configurer une adresse électronique ne sont pas présentées dans ce guide.
+ La validation s'applique uniquement aux certificats approuvés publiquement émis par ACM. ACM ne valide pas la propriété du domaine pour les [certificats importés](import-certificate.md) ou pour les certificats signés par une autorité de certification privée. ACM ne peut pas valider les ressources dans une [zone privée hébergée](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) Amazon VPC ou tout autre domaine privé. Pour de plus amples informations, veuillez consulter [Résoudre les problèmes de validation des certificats](certificate-validation.md).
+ Une fois que vous avez créé un certificat avec une validation par e-mail, vous ne pouvez pas passer à sa validation avec DNS. Pour utiliser la validation DNS, supprimez le certificat, puis créez-en un nouveau qui utilise la validation DNS.

## Expiration et renouvellement de certificat
<a name="renewal"></a>

Les certificats ACM sont valides pendant 198 jours. Le renouvellement d'un certificat nécessite une action de la part du propriétaire du domaine. ACM commence à envoyer des avis de renouvellement aux adresses e-mail associées au domaine 45 jours avant son expiration. Les notifications contiennent un lien sur lequel le propriétaire du domaine peut cliquer pour le renouvellement. Une fois tous les domaines répertoriés validés, ACM émet un certificat renouvelé avec le même ARN.

## (Facultatif) Renvoyer l'e-mail de validation
<a name="gs-acm-resend"></a>

Chaque e-mail de validation contient un jeton que vous pouvez utiliser pour approuver une demande de certificat. Cependant, étant donné que l’e-mail de validation nécessaire pour le processus d'approbation peut être bloqué par des filtres anti-spam ou perdu en transit, le jeton de validation expire automatiquement au bout de 72 heures. Si vous ne recevez pas l'e-mail d'origine ou que le jeton a expiré, vous pouvez demander que l'e-mail soit renvoyé. Pour plus d'informations sur la façon de renvoyer un e-mail de validation, voir [Renvoyer un e-mail de validation](email-renewal-validation.md#request-domain-validation-email-for-renewal) 

En cas de problèmes persistants liés à la validation des e-mails, veuillez consulter la section [Résolution des problèmes liés à la validation par courriel](troubleshooting-email-validation.md) dans le [Résoudre les problèmes liés à AWS Certificate Manager](troubleshooting.md).

# Automatisez la validation des AWS Certificate Manager e-mails
<a name="email-automation"></a>

Les certificats ACM qui ont été validés par e'mail nécessitent normalement une intervention manuelle de la part du propriétaire du domaine. Les organisations qui traitent d'un grand nombre de certificats validés par courriel peuvent préférer créer un analyseur capable d'automatiser les réponses requises. Pour les clients qui utilisent la validation par courriel, les informations de cette section décrivent les modèles utilisés pour les messages électroniques de validation de domaine et le flux de travail nécessaire afin de mener à bien le processus de validation. 

## Modèles d'email de validation
<a name="validation-email-template"></a>

Les messages d'email de validation se présentent sous l'un des deux formats suivants, selon qu'un nouveau certificat est demandé ou qu'un certificat existant est en cours de renouvellement. Le contenu des chaînes en surbrillance doit être remplacé par des valeurs spécifiques au domaine en cours de validation.

### Validation d'un nouveau certificat
<a name="new-template"></a>

Texte du modèle de courriel :

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain.

Verify that the following domain, AWS account ID, and certificate identifier correspond 
to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals 
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context) 
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief 
explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services
```

### Validation d'un certificat en vue de son renouvellement
<a name="renewal-template"></a>

Texte du modèle de courriel :

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain. 
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined 
validity periods and email validated certificates, like this one, require you 
to re-validate for the certificate to renew.

Verify that the following domain, AWS account ID, and certificate identifier 
correspond to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here - 
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in 
error, forward it along with a brief explanation of your concern to 
validation-questions@amazon.com.

Sincerely,
Amazon Web Services

--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.

This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.

(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy
```

Une fois que vous avez reçu un nouveau message de validation de AWS, nous vous recommandons de l'utiliser comme modèle le plus up-to-date fiable pour votre analyseur. Les clients disposant d'analyseurs de messages conçus avant novembre 2020 doivent tenir compte du fait que les modifications suivantes ont pu être apportées au modèle :
+ La ligne d'objet du message électronique indique maintenant « `Certificate request for domain name` » au lieu de « `"Certificate approval for domain name` ».
+ Le `AWS account ID` est maintenant présenté sans tirets ni traits d'union. 
+ Le `Certificate Identifier` présente maintenant l'ARN complet du certificat au lieu d'un formulaire raccourci, par exemple, `arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369` plutôt que `3b4d78e1-0882-4f51-954a-298ee44ff369`.
+ L'URL d'approbation du certificat contient maintenant `acm-certificates.amazon.com` au lieu de `certificates.amazon.com`.
+ Le formulaire d'approbation qui s'ouvre lorsque l'on clique sur l'URL d'approbation du certificat contient désormais le bouton d'approbation. Le nom du bouton d'approbation div est maintenant `approve-button` au lieu de `approval_button`.
+ Le même format de courriel est utilisé pour les messages de validation des certificats nouvellement demandés et des certificats de renouvellement.

## Flux de travail de validation
<a name="validation-workflow"></a>

Cette section fournit des informations sur le flux de travail de renouvellement des certificats validés par courriel. 
+ Lorsque la console ACM traite une demande de certificat multidomaine, elle envoie des e-mails de validation au nom de domaine ou au domaine de validation que vous spécifiez lorsque vous demandez un certificat public. Avant qu'ACM puisse émettre le certificat, le propriétaire des domaines doit valider un message électronique pour chaque domaine. Pour plus d'informations, consultez [Utilisation d'un courriel pour valider la propriété du domaine](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html). 
+ La validation par e-mail des demandes de certificats multidomaines à l'aide de l'API ACM ou de la CLI entraîne l'envoi d'un message électronique par chaque domaine demandé, même si la demande inclut des sous-domaines d'autres domaines dans la demande. Avant qu'ACM puisse émettre le certificat, le propriétaire des domaines doit valider un message électronique pour chacun de ces domaines.

  Si vous renvoyez des e-mails pour un certificat existant via la console ACM, les e-mails seront envoyés au domaine de validation spécifié dans la demande de certificat d'origine, ou au domaine exact si aucun domaine de validation n'a été spécifié. Pour recevoir des e-mails de validation sur un autre domaine, vous pouvez demander un nouveau certificat, en spécifiant le domaine de validation que vous souhaitez utiliser pour la validation. Vous pouvez également appeler [ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)avec le `ValidationDomain` paramètre à l'aide de l'API, du SDK ou de la CLI. Cependant, le domaine de validation spécifié dans la `ResendValidationEmail` demande n'est utilisé que pour cet appel et n'est pas enregistré dans le certificat Amazon Resource Name (ARN) pour les futurs e-mails de validation. Vous devez appeler `ResendValidationEmail` chaque fois que vous souhaitez recevoir un e-mail de validation pour un nom de domaine qui n'a pas été spécifié dans la demande de certificat d'origine.
**Note**  
Avant novembre 2020, les clients pouvaient se contenter de ne valider que le domaine apex puisqu'ACM émettait un certificat qui couvrait également tous les sous-domaines. Les clients disposant d'analyseurs de messages conçus avant cette date doivent tenir compte des modifications apportées au flux de travail de validation par courriel.
+ Avec l'API ACM ou l'interface CLI, vous pouvez forcer tous les messages électroniques de validation pour une demande de certificat multidomaine à envoyer au domaine apex. Dans l'API, utilisez le `DomainValidationOptions` paramètre de [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) l'action afin de spécifier une valeur pour `ValidationDomain`, qui est membre du [DomainValidationOption](https://docs.aws.amazon.com/acm/latest/APIReference/API_DomainValidationOption.html) type. Dans l'interface CLI, utilisez le paramètre **--domain-validation-options** de la commande [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) afin de spécifier une valeur pour `ValidationDomain`.

# AWS Certificate Manager Validation HTTP
<a name="http-validation"></a>

Le protocole HTTP (Hypertext Transfer Protocol) est un protocole fondamental pour la communication de données sur le World Wide Web. Lorsque vous choisissez la validation HTTP pour les certificats utilisés avec CloudFront, ACM utilise ce protocole pour vérifier la propriété de votre domaine. ACM travaille conjointement avec CloudFront pour vous fournir une URL spécifique et un jeton unique qui doivent être accessibles à cette URL sur votre domaine. Ce jeton prouve que vous contrôlez le domaine. En configurant une redirection depuis votre domaine vers un emplacement contrôlé par ACM au sein de l' CloudFront infrastructure, vous démontrez votre capacité à modifier le contenu du domaine, validant ainsi votre propriété. Cette intégration parfaite entre ACM CloudFront simplifie le processus d'émission des certificats, en particulier pour les CloudFront distributions.

**Important**  
La validation HTTP ne prend pas en charge les certificats de domaine génériques (tels que \$1.exemple.com). Pour les certificats génériques, vous devez plutôt utiliser la validation DNS ou la validation par e-mail.

Par exemple, si vous demandez un certificat pour le `example.com` domaine avec `www.example.com` comme nom supplémentaire CloudFront, ACM vous fournit deux ensembles de certificats URLs pour la validation HTTP. Chaque ensemble contient une `redirectFrom` URL et une `redirectTo` URL, créées spécifiquement pour votre domaine et votre AWS compte. L'`redirectFrom`URL est un chemin sur votre domaine (par exemple,`http://example.com/.well-known/pki-validation/example.txt`) que vous devez configurer. L'`redirectTo`URL pointe vers un emplacement contrôlé par ACM au sein de l' CloudFront infrastructure où un jeton de validation unique est stocké. Vous ne devez configurer ces redirections qu'une seule fois. Lorsqu'une autorité de certification tente de valider la propriété de votre domaine, elle demande le fichier depuis l'`redirectFrom`URL, qui CloudFront redirige vers l'`redirectTo`URL, permettant ainsi l'accès au jeton de validation. ACM renouvelle automatiquement votre certificat tant que celui-ci est utilisé CloudFront et que votre redirection reste en place.

Une fois que vous avez configuré la validation HTTP pour un nom de domaine complet (FQDN) avec CloudFront, vous pouvez demander des certificats ACM supplémentaires pour ce FQDN sans répéter le processus de validation, tant que la redirection HTTP reste en place. Cela signifie que vous pouvez créer des certificats de remplacement portant le même nom de domaine. Vous pouvez également remplacer un certificat supprimé sans recommencer le processus de validation, à condition que la redirection soit toujours active.

Pour arrêter le renouvellement automatique de votre certificat validé par HTTP, deux options s'offrent à vous. Vous pouvez soit supprimer le certificat de la CloudFront distribution à laquelle il est associé, soit supprimer la redirection HTTP que vous avez configurée pour la validation. Si vous utilisez un réseau de diffusion de contenu (CDN) ou un serveur Web autre que CloudFront pour gérer vos redirections, consultez leur documentation pour savoir comment supprimer une redirection. Si vous utilisez CloudFront pour gérer vos redirections, vous pouvez supprimer la redirection en mettant à jour la configuration de votre distribution. Pour plus d'informations sur le renouvellement de certificats gérés, consultez [Renouvellement géré des certificats dans AWS Certificate Manager](managed-renewal.md). N'oubliez pas que l'arrêt du renouvellement automatique peut entraîner l'expiration du certificat, ce qui peut interrompre votre trafic HTTPS.

## Comment fonctionnent les redirections HTTP pour ACM
<a name="http-redirects-overview"></a>

**Note**  
Cette section est destinée aux clients qui utilisent ACM CloudFront pour la diffusion de contenu et ACM pour la gestion des SSL/TLS certificats.

Lorsque vous utilisez la validation HTTP avec ACM et CloudFront, vous devez configurer les redirections HTTP. Ces redirections permettent à ACM de vérifier la propriété de votre domaine pour l'émission initiale du certificat et le renouvellement automatique continu. Le mécanisme de redirection fonctionne en pointant une URL spécifique de votre domaine vers un emplacement contrôlé par ACM au sein de l' CloudFrontinfrastructure où un jeton de validation unique est stocké.

Le tableau suivant présente des exemples de configurations de redirection pour les noms de domaine. Notez que la validation HTTP ne prend pas en charge les domaines génériques (tels que \$1.exemple.com). La paire **Redirect From** - **Redirect To** de chaque configuration sert à authentifier la propriété du nom de domaine.


**Exemples de configurations de redirection HTTP**  

| Nom de domaine | Rediriger depuis | Rediriger vers | Comment | 
| --- | --- | --- | --- | 
| example.com |  `http://example.com/.well-known/pki-validation/x2.txt`  |  `https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt`  |  Unique  | 
| www.example.com |  `http://www.example.com/.well-known/pki-validation/x3.txt`  | `https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt`  |  Unique  | 
| host.example.com |  `http://host.example.com/.well-known/pki-validation/x4.txt`  |  `https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt`  |  Unique  | 
| subdomain.example.com |  `http://subdomain.example.com/.well-known/pki-validation/x5.txt`  |  `https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt`  |  Unique  | 
| host.subdomain.example.com |  `http://host.subdomain.example.com/.well-known/pki-validation/x6.txt`  |  `https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt`  |  Unique  | 

Les *xN* valeurs des noms de fichiers et les *yN* valeurs des domaines contrôlés par ACM sont des identifiants uniques générés par ACM. Par exemple, 

```
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

est représentatif de l'URL **de redirection** générée. L'URL **de redirection** associée peut être

```
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

pour le même enregistrement de validation.

**Note**  
Si votre serveur Web ou votre réseau de diffusion de contenu ne prend pas en charge la configuration de redirections sur le chemin spécifié, voir [Résolution des problèmes de validation HTTP](troubleshooting-HTTP-validation.md).

Lorsque vous demandez un certificat et que vous spécifiez la validation HTTP, ACM fournit des informations de redirection au format suivant :


****  

| Nom de domaine | Rediriger depuis | Rediriger vers | 
| --- | --- | --- | 
| example.com | http://example.com/.well - known/pki-validation/a 79865eb4cd1a6ab990a45779b4e0b96.txt | https://validation. region.acm-validations.aws/ /.well-known/pki-validation/ a424c7224e9b .txt a79865eb4cd1a6ab990a45779b4e0b96 | 

Le *Nom de domaine* est le nom de domaine complet associé au certificat. *Redirect From* est l'URL de votre domaine où ACM recherchera le fichier de validation. *Redirect To* est l'URL contrôlée par ACM où le fichier de validation est hébergé.

Vous devez configurer votre serveur Web ou votre CloudFront distribution pour rediriger les demandes de l'URL de *redirection vers l'URL de* *redirection vers l'URL de redirection*. La méthode exacte pour configurer cette redirection dépend du logiciel ou de la CloudFront configuration de votre serveur Web. Assurez-vous que la redirection est correctement configurée pour permettre à ACM de valider la propriété de votre domaine et d'émettre ou de renouveler votre certificat.

## Configuration de la validation HTTP
<a name="setting-up-http-validation"></a>

ACM utilise la validation HTTP pour vérifier la propriété de votre domaine lors de l'émission de SSL/TLS certificats publics à utiliser avec CloudFront. Cette section décrit comment configurer un certificat public pour utiliser la validation HTTP.<a name="http-validation-console"></a>

**Pour configurer la validation HTTP dans la console**
**Note**  
Cette procédure part du principe que vous avez déjà demandé un certificat CloudFront et que vous travaillez dans la AWS région où vous l'avez créé. La validation HTTP est uniquement disponible via la fonctionnalité CloudFront Distribution Tenants.

1. Ouvrez la console ACM à [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)l'adresse.

1. Dans la liste des certificats, choisissez l’**ID de certificat** d'un certificat avec statut **Validation en attente** que vous souhaitez configurer. Cette opération ouvre une page d’informations pour le certificat.

1. Dans la section **Domaines**, vous pouvez voir les valeurs **de redirection depuis et de** **redirection vers** pour chaque domaine de votre demande de certificat.

1. Pour chaque domaine, configurez une redirection HTTP depuis l'URL **de redirection** vers l'URL **de redirection**. Vous pouvez le faire par le biais de votre configuration de CloudFront distribution.

1. Configurez votre CloudFront distribution pour rediriger les demandes **de l'URL de redirection** **vers l'URL de redirection**. La méthode de configuration de cette redirection dépend de votre CloudFront configuration.

1. Après avoir configuré les redirections, ACM tente automatiquement de valider la propriété de votre domaine. Ce processus peut prendre jusqu'à 30 minutes.

Si ACM ne parvient pas à valider le nom de domaine dans les 72 heures suivant la génération des valeurs de redirection pour vous, ACM change le statut du certificat en **Validation expiré**. La raison la plus probable de ce résultat est que vous n'avez pas correctement configuré les redirections HTTP. Pour résoudre ce problème, vous devez demander un nouveau certificat après avoir examiné les instructions de redirection.

**Important**  
Pour éviter les problèmes de validation, assurez-vous que le contenu de l'emplacement **Rediriger depuis** correspond au contenu de l'emplacement **Rediriger vers**. Si vous rencontrez des problèmes, consultez [Résolution des problèmes de validation HTTP](troubleshooting-HTTP-validation.md).

**Note**  
Contrairement à la validation DNS, vous ne pouvez pas demander par programmation à ACM de créer automatiquement vos redirections HTTP. Vous devez configurer ces redirections dans vos paramètres CloudFront de distribution.

Pour plus d'informations sur le fonctionnement de la validation HTTP, consultez[Comment fonctionnent les redirections HTTP pour ACM](#http-redirects-overview).