As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Valide a propriedade do domínio para certificados AWS Certificate Manager públicos
<a name="domain-ownership-validation"></a>

Antes que a autoridade de certificação (CA) da Amazon possa emitir um certificado para seu site, o AWS Certificate Manager (ACM) deve comprovar que você possui ou controla todos os nomes de domínio especificados na sua solicitação. Você pode optar por provar sua propriedade com a validação por Sistema de Nomes de Domínio (DNS), validação por e-mail ou validação por HTTP quando solicitar um certificado.

**nota**  
A validação aplica-se apenas a certificados publicamente confiáveis emitidos pelo ACM. O ACM não valida a propriedade do domínio para [certificados importados](import-certificate.md) nem para certificados assinados por uma CA privada. O ACM não pode validar recursos em uma [zona hospedada privada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) do Amazon VPC em ou qualquer outro domínio privado. Para obter mais informações, consulte [Solucionar problemas de validação de certificados](certificate-validation.md).

Recomendamos o uso da validação por DNS em vez da validação por e-mail pelos seguintes motivos:
+ Se você usa o Amazon Route 53 para gerenciar seus registros de DNS públicos, poderá atualizar seus registros diretamente por meio do ACM.
+ O ACM renova seu certificado validado por DNS automaticamente, desde que o certificado esteja em uso e o registro do DNS esteja em vigor.
+ Para serem renovados, os certificados validados por e-mail exigem uma ação do proprietário do domínio. O ACM começa a enviar avisos de renovação 45 dias antes do prazo de validade. Esses avisos vão para um ou mais dos cinco endereços de administrador comuns do domínio. As notificações contêm um link no qual o proprietário do domínio pode clicar para facilitar a renovação. Depois que todos os domínios listados forem validados, o ACM emitirá um certificado renovado com o mesmo ARN.

Se não puder editar o banco de dados de DNS do seu domínio, você deve usar a [validação por e-mail](email-validation.md) em seu lugar.

A validação HTTP está disponível para certificados usados com CloudFront. Esse método usa redirecionamentos HTTP para provar a propriedade do domínio e oferece renovação automática semelhante à validação de DNS.

**nota**  
Depois de criar um certificado com validação de e-mail, você não pode alternar para validá-lo com DNS. Para usar a validação de DNS, exclua o certificado e crie um novo que use a validação de DNS.

**Topics**
+ [AWS Certificate Manager Validação de DNS](dns-validation.md)
+ [AWS Certificate Manager validação de e-mail](email-validation.md)
+ [AWS Certificate Manager Validação por HTTP](http-validation.md)

# AWS Certificate Manager Validação de DNS
<a name="dns-validation"></a>

O Sistema de Nomes de Domínio (DNS) é um serviço de directory service para recursos conectados a uma rede. Seu provedor de DNS mantém um banco de dados contendo registros que definem seu domínio. Quando você escolhe a validação por DNS, o ACM fornece um ou mais registros CNAME que devem ser adicionados a esse banco de dados. Esses registros contêm um par de chave-valor exclusivo que serve como prova de que você controla o domínio.

**nota**  
Depois de criar um certificado com validação de e-mail, você não pode alternar para validá-lo com DNS. Para usar a validação de DNS, exclua o certificado e crie um novo que use a validação de DNS.

Por exemplo, se você solicitar um certificado para o domínio `example.com` com `www.example.com` como um nome adicional, o ACM criará dois registros CNAME para você. Cada registro criado especificamente para seu domínio e sua conta contém um nome e um valor. O valor é um alias que aponta para um AWS domínio que o ACM usa para renovar automaticamente seu certificado. Você adiciona os registros CNAME a seu banco de dados de DNS somente uma vez. O ACM renova seu certificado automaticamente, desde que o certificado esteja em uso e o registro CNAME permaneça em vigor. 

**Importante**  
Se você não usa o Amazon Route 53 para gerenciar seus registros públicos de DNS, entre em contato com seu provedor do DNS para saber como adicionar registros. Se não tiver autoridade para editar o banco de dados de DNS do seu domínio, você deve usar a [validação por e-mail](email-validation.md) em seu lugar.

Sem a necessidade de repetir a validação, você pode solicitar certificados adicionais do ACM para seu nome de domínio totalmente qualificado (FQDN) enquanto o registro CNAME permanecer em vigor. Ou seja, você pode criar certificados de substituição com o mesmo nome de domínio ou certificados que cobrem subdomínios diferentes. Como o token de validação CNAME funciona para qualquer AWS região, você pode recriar o mesmo certificado em várias regiões. Você também pode substituir um certificado excluído. 

Você pode interromper a renovação automática removendo o certificado do serviço da AWS ao qual ele está associado ou excluindo o registro CNAME. Se o Route 53 não for seu provedor de DNS, entre em contato com o provedor para saber como excluir um registro. Se o Route 53 for seu provedor, consulte [Exclusão de conjuntos de registros de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-deleting.html) no *Guia do desenvolvedor do Route 53*. Para obter mais informações sobre a renovação de certificados gerenciados, consulte [Renovação gerenciada do certificado em AWS Certificate Manager](managed-renewal.md). 

**nota**  
A resolução do CNAME falhará se mais de cinco CNAMEs estiverem encadeados em sua configuração de DNS. Se você precisar de um encadeamento mais longo, recomendamos usar a [validação por e-mail](email-validation.md).

## Como funcionam os registros CNAME para o ACM
<a name="cnames-overview"></a>

**nota**  
Esta seção é para clientes que não usam o Route 53 como provedor de DNS.

Se você não estiver usando o Route 53 como seu provedor DNS, precisará inserir manualmente os registros CNAME fornecidos pelo ACM no banco de dados do seu provedor, geralmente por meio de um site. Os registros CNAME são usados para vários fins, inclusive como mecanismos de redirecionamento e como contêineres para metadados específicos do provedor. Para o ACM, esses registros permitem a validação inicial da propriedade do domínio e a renovação automática contínua de certificados. 

A tabela a seguir mostra exemplos de registros CNAME para seis nomes de domínio. O par **nome de registro**-**valor do Registro** de cada registro serve para autenticar a propriedade do nome do domínio. 

Na tabela, note que os dois primeiros pares **nome de registro**-**valor do registro** são iguais. Isso ilustra que, para um domínio curinga, como `*.example.com`, as strings criadas pelo ACM são as mesmas que as criadas para seu domínio base, `example.com`. Caso contrário, o par **nome de registro** e **valor do registro** é diferente para cada nome de domínio.


**Exemplo de registros CNAME**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/acm/latest/userguide/dns-validation.html)

Os *xN* valores após o sublinhado (\$1) são cadeias de caracteres longas geradas pelo ACM. Por exemplo, 

```
_3639ac514e785e898d2646601fa951d5.example.com.
```

representa um **nome de registro** gerado. O **valor do registro** associado pode ser

```
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
```

para o mesmo registro de DNS.

**nota**  
Se o provedor de DNS não suportar os valores de CNAME que comecem com sublinha, consulte [Solucionar problemas de validação por DNS](troubleshooting-DNS-validation.md).

Quando você solicita um certificado e especifica a validação por DNS, o ACM fornece as informações de CNAME no seguinte formato:


****  

| Nome do domínio | Nome de registro | Tipo de registro | Valor do registro | 
| --- | --- | --- | --- | 
| exemplo.com | \$1a79865eb4cd1a6ab990a45779b4e0b96.exemplo.com. | CNAME |  \$1424c7224e9b0146f9a8808af955727d0.acm-validations.aws.  | 

O *nome do domínio* é o FQDN associado ao certificado. O *nome de registro* identifica o registro de forma exclusiva, servindo como a chave do par chave-valor. O *valor do registro* serve como o valor do par chave-valor. 

Todos esses três valores (*Nome de domínio*, *Nome do registro* e *Valor do registro*) devem ser inseridos nos campos apropriados da interface da Web do provedor de DNS para adicionar os registros de DNS. Os provedores são inconsistentes em termos de como tratam o campo de nome do registro (ou apenas "nome"). Em alguns casos, espera-se que você forneça toda a sequência como mostrado acima. Outros provedores adicionam automaticamente o nome de domínio a qualquer sequência que você inserir, o que significa (nesse exemplo) que você deve inserir somente

```
_a79865eb4cd1a6ab990a45779b4e0b96
```

no campo de nome. Se você fizer uma suposição errada e inserir um nome de registro que contenha um nome de domínio (como *`.example.com`*), o resultado final pode ser o seguinte:

```
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
```

A validação não funcionará nesse caso. Consequentemente, você deve tentar determinar antecipadamente que tipo de entrada seu provedor espera.

## Configuração da validação por DNS
<a name="setting-up-dns-validation"></a>

Esta seção descreve como configurar um certificado público para usar a validação por DNS.<a name="dns-validation-console"></a>

**Para configurar a validação por DNS no console**
**nota**  
Esse procedimento pressupõe que você já tenha criado pelo menos um certificado e que esteja trabalhando na AWS região em que o criou. Se tentar abrir o console e visualizar a tela de primeiro uso, ou se conseguir abrir o console e não vir seu certificado na lista, verifique se especificou a região correta.

1. Abra o console do ACM em. [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)

1. Na lista de certificados, escolha o **Certificate ID** (ID do certificado) de um certificado com status **Pending validation** (Validação pendente) que você deseja configurar. Isso abre uma página de detalhes para o certificado.

1. Na seção **Domains** (Domínios), realize um dos dois procedimentos a seguir:

   1. (Opcional) Validar com o Route 53.

      Um botão **Create record in Route 53** (Criar registro no Route 53) ativo será exibido se as seguintes condições forem verdadeiras:
      + Você usa o Route 53 como seu provedor de DNS.
      + Você tem permissão para gravar na zona hospedada pelo Route 53.
      + Seu FQDN ainda *não* foi validado.
**nota**  
Se você estiver usando o Route 53, mas **Criar registros no Route 53** não aparecer ou estiver desabilitado, consulte [Console do ACM não exibe o botão “Criar registros no Route 53”](troubleshooting-DNS-validation.md#troubleshooting-route53-1). 

      Selecione **Criar registros no Route 53** e, em seguida, escolha **Criar registros**. A página **Certificate status** (Status do certificado) deve abrir com um banner de status informando **Successfully created DNS records** (Registros de DNS criados com êxito).

      Seu novo certificado pode continuar a exibir um status de **Validação pendente** por até 30 minutos.
**dica**  
Não é possível solicitar de forma programática que o ACM crie automaticamente seu registro no Route 53. No entanto, você pode fazer uma chamada AWS CLI ou de API para o Route 53 para criar o registro no banco de dados DNS do Route 53. Para obter mais informações sobre conjuntos de registros do Route 53, consulte [Trabalho com conjuntos de registros de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html).

   1. (Opcional) Se não estiver usando o Route 53 como seu provedor de DNS, você deve recuperar as informações de CNAME e adicioná-las a seu banco de dados de DNS. Na página de detalhes do novo certificado, é possível fazer isso de duas formas:
      + Copie os componentes do CNAME exibidos na seção **Domains** (Domínios). As informações precisam ser adicionadas manualmente ao banco de dados de DNS.
      + Outra alternativa é escolher **Export to CSV** (Exportar para CSV). É necessário adicionar as informações do arquivo resultante manualmente ao seu banco de dados de DNS.
**Importante**  
Para evitar problemas de validação, revise [Como funcionam os registros CNAME para o ACM](#cnames-overview) antes de adicionar informações ao banco de dados do seu provedor de DNS. Se você tiver problemas, consulte [Solucionar os problemas de validação por DNS](troubleshooting-DNS-validation.md). 

Se o ACM não puder validar o nome do domínio em até 72 horas a partir do momento em que gera um valor de CNAME para você, o ACM altera o status do certificado para **Prazo de validação esgotado**. O motivo mais provável para este resultado é você não ter atualizado sua configuração de DNS com o valor gerado pelo ACM. Para corrigir esse problema, você deve solicitar um novo certificado após revisar as instruções de CNAME.

# AWS Certificate Manager validação de e-mail
<a name="email-validation"></a>

Para que a autoridade de certificação (CA) da Amazon possa emitir um certificado para seu site, o AWS Certificate Manager (ACM) deve verificar que você possui ou controla todos os domínios especificados na sua solicitação. Você pode executar uma verificação usando o e-mail ou o DNS. Este tópico discute a validação de e-mail.

Se você tiver problemas ao usar a validação de e-mail, consulte [Solução de problemas de validação de e-mail](troubleshooting-email-validation.md).

## Como a validação por e-mail funciona
<a name="how-email-validation-works"></a>

O ACM envia mensagens de e-mail de validação para os cinco e-mails do sistema comuns a seguir para cada domínio. Como alternativa, você pode especificar um superdomínio como domínio de validação se quiser receber esses e-mails nesse domínio. Qualquer subdomínio até o endereço mínimo do site é válido e é usado como domínio para o endereço de e-mail como o sufixo após `@`. Por exemplo, você poderá receber um e-mail para admin@example.com se especificar exemplo.com como o domínio de validação para subdomínio.exemplo.com.
+ administrator@your\$1domain\$1name
+ hostmaster@your\$1domain\$1name
+ postmaster@your\$1domain\$1name
+ webmaster@your\$1domain\$1name
+ admin@your\$1domain\$1name

Para comprovar que o domínio é seu, você deverá selecionar o link de validação incluído nesses e-mails. O ACM também envia e-mails de validação para esses mesmos endereços para renovar o certificado quando o certificado estiver a 45 dias de expirar.

A validação por e-mail de solicitações de certificado de vários domínios usando a API ou a CLI do ACM faz com que uma mensagem de e-mail seja enviada por cada domínio solicitado, mesmo se a solicitação incluir subdomínios de outros domínios na solicitação. O proprietário do domínio precisa validar uma mensagem de e-mail para cada um desses domínios antes que o ACM possa emitir o certificado.

**Exceção a este processo**  
Se você solicitar um certificado do ACM para um nome de domínio que comece com **www** ou um asterisco como curinga (**\$1**), o ACM removerá o **www** ou o asterisco inicial e enviará e-mails para os endereços administrativos. Esses endereços são formados, antepondo admin@, administrador@, hostmaster@, postmaster@ e webmaster@ ao restante do nome de domínio. Por exemplo, se você solicitar um certificado do ACM para www.exemplo.com, o e-mail será enviado para admin@exemplo.com em vez de ser enviado para admin@www.exemplo.com. Da mesma forma, se você solicitar um certificado do ACM para \$1.teste.exemplo.com, o e-mail será enviado para admin@teste.exemplo.com. Os demais endereços administrativos comuns são formados de maneira similar.

**Importante**  
O ACM não oferece mais suporte à validação por e-mail do WHOIS no caso de novos certificados ou de renovações. Os endereços comuns do sistema permanecem com suporte. Para obter detalhes, consulte a [publicação do blog](https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/).

## Considerações
<a name="certificate-considerations"></a>

Observe as considerações a seguir sobre a validação de e-mails.
+ Você precisa de um endereço de e-mail de trabalho funcional registrado em seu domínio para usar a validação por e-mail. Os procedimentos para configurar um endereço de e-mail estão fora do escopo deste guia.
+ A validação aplica-se apenas a certificados publicamente confiáveis emitidos pelo ACM. O ACM não valida a propriedade do domínio para [certificados importados](import-certificate.md) nem para certificados assinados por uma CA privada. O ACM não pode validar recursos em uma [zona hospedada privada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) do Amazon VPC em ou qualquer outro domínio privado. Para obter mais informações, consulte [Solucionar problemas de validação de certificados](certificate-validation.md).
+ Depois de criar um certificado com validação de e-mail, você não pode alternar para validá-lo com DNS. Para usar a validação de DNS, exclua o certificado e crie um novo que use a validação de DNS.

## Data de expiração da validade e de renovação do certificado
<a name="renewal"></a>

Os certificados ACM são válidos por 198 dias. A renovação de um certificado exige uma ação do proprietário do domínio. O ACM começa a enviar avisos de renovação para os endereços de e-mail associados ao domínio 45 dias antes da expiração. As notificações contêm um link no qual o proprietário do domínio pode clicar para renová-lo. Depois que todos os domínios listados forem validados, o ACM emitirá um certificado renovado com o mesmo ARN.

## (Opcional) Reenviar de e-mail de validação
<a name="gs-acm-resend"></a>

Cada e-mail de validação contém um token que você pode usar para aprovar uma solicitação de certificado. No entanto, como o e-mail de validação necessário para o processo de aprovação pode ser bloqueado por filtros de spam ou pode ser perdido em trânsito, o token expira automaticamente após 72 horas. Se não receber o e-mail original ou se o token estiver expirado, você poderá solicitar que o e-mail seja reenviado. Para obter informações sobre como reenviar um e-mail de validação, consulte [Reenviar o e-mail de validação](email-renewal-validation.md#request-domain-validation-email-for-renewal) 

Em caso de problemas persistentes com a validação de e-mail, consulte a seção [Solução de problemas de validação de e-mail](troubleshooting-email-validation.md) em [Solucione problemas com AWS Certificate Manager](troubleshooting.md).

# Automatize a validação AWS Certificate Manager de e-mails
<a name="email-automation"></a>

Os certificados ACM validados por e-mail normalmente exigem uma ação manual do proprietário do domínio. Organizações que lidam com um grande número de certificados validados por e-mail podem preferir criar um analisador que possa automatizar as respostas necessárias. Para ajudar os clientes a usar a validação por e-mail, as informações nesta seção descrevem os modelos usados para mensagens de e-mail de validação de domínio e o fluxo de trabalho envolvido na realização do processo de validação. 

## Modelos de e-mail de validação
<a name="validation-email-template"></a>

As mensagens de e-mail de validação têm um dos dois formatos a seguir, dependendo se um novo certificado está sendo solicitado ou um certificado existente está sendo renovado. O conteúdo das cadeias destacadas deve ser substituído por valores específicos para o domínio que está sendo validado.

### Validando um novo certificado
<a name="new-template"></a>

Texto do modelo de e-mail:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain.

Verify that the following domain, AWS account ID, and certificate identifier correspond 
to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals 
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context) 
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief 
explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services
```

### Validando um certificado para renovação
<a name="renewal-template"></a>

Texto do modelo de e-mail:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain. 
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined 
validity periods and email validated certificates, like this one, require you 
to re-validate for the certificate to renew.

Verify that the following domain, AWS account ID, and certificate identifier 
correspond to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here - 
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in 
error, forward it along with a brief explanation of your concern to 
validation-questions@amazon.com.

Sincerely,
Amazon Web Services

--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.

This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.

(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy
```

Depois de receber uma nova mensagem de validação de AWS, recomendamos que você a use como o modelo mais up-to-date confiável para seu analisador. Os clientes com analisadores de mensagens criados antes de novembro de 2020 devem observar as seguintes alterações que podem ter sido feitas no modelo:
+ A linha de assunto do e-mail agora mostra "`Certificate request for domain name`" em vez de "`"Certificate approval for domain name`".
+ O `AWS account ID` agora é apresentado sem traços ou hífens. 
+ O `Certificate Identifier` agora apresenta todo o ARN do certificado em vez de uma forma reduzida, por exemplo, `arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369` em vez de `3b4d78e1-0882-4f51-954a-298ee44ff369`.
+ O URL de aprovação do certificado agora contém `acm-certificates.amazon.com` em vez de `certificates.amazon.com`.
+ O formulário de aprovação aberto clicando no URL de aprovação do certificado agora contém o botão de aprovação. O nome do botão de aprovação é agora `approve-button` em vez de `approval_button`.
+ As mensagens de validação para certificados recém-solicitados e certificados de renovação têm o mesmo formato de e-mail.

## Fluxo de trabalho de validação
<a name="validation-workflow"></a>

Esta seção fornece informações sobre o fluxo de trabalho de renovação para certificados validados por e-mail. 
+ Quando o console do ACM processa uma solicitação de certificado de vários domínios, ele envia mensagens de e-mail de validação para o nome de domínio ou para o domínio de validação especificado quando você solicita um certificado público. O proprietário do domínio precisa validar uma mensagem de e-mail para cada domínio antes que o ACM possa emitir o certificado. Para obter mais informações, consulte [Uso do DNS para validar a propriedade do domínio](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html). 
+ A validação por e-mail de solicitações de certificado de vários domínios usando a API ou a CLI do ACM faz com que uma mensagem de e-mail seja enviada por cada domínio solicitado, mesmo se a solicitação incluir subdomínios de outros domínios na solicitação. O proprietário do domínio precisa validar uma mensagem de e-mail para cada um desses domínios antes que o ACM possa emitir o certificado.

  Se você reenviar e-mails de um certificado existente por meio do console do ACM, os e-mails serão enviados para o domínio de validação especificado na solicitação de certificado original ou para o domínio exato se nenhum domínio de validação tiver sido especificado. Para receber e-mails de validação em um domínio diferente, é possível solicitar um novo certificado e especificar o domínio de validação que você deseja usar para validação. Como alternativa, você pode chamar [ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)com o `ValidationDomain` parâmetro usando a API, o SDK ou a CLI. No entanto, o domínio de validação especificado na solicitação `ResendValidationEmail` é usado somente para essa chamada e não é salvo no nome do recurso da Amazon (ARN) do certificado para futuros e-mails de validação. Será necessário chamar `ResendValidationEmail` sempre que você quiser receber um e-mail de validação em um nome de domínio que não foi especificado na solicitação de certificado original.
**nota**  
Antes de novembro de 2020, os clientes precisavam validar apenas o domínio apex e o ACM emitia um certificado que também abrangia todos os subdomínios. Os clientes com analisadores de mensagens projetados antes dessa época devem observar a alteração no fluxo de trabalho de validação de e-mail.
+ Com a API ou a CLI do ACM, você pode forçar que todas as mensagens de e-mail de validação para uma solicitação de certificado de vários domínios sejam enviadas para o domínio apex. Na API, use o parâmetro `DomainValidationOptions` da ação [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) para especificar um valor para `ValidationDomain`, que é um membro do tipo [DomainValidationOption](https://docs.aws.amazon.com/acm/latest/APIReference/API_DomainValidationOption.html). Na CLI, use o parâmetro **--domain-validation-options** do comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para especificar um valor para `ValidationDomain`.

# AWS Certificate Manager Validação por HTTP
<a name="http-validation"></a>

O Hypertext Transfer Protocol (HTTP) é um protocolo fundamental para a comunicação de dados na World Wide Web. Quando você escolhe a validação HTTP para certificados usados com CloudFront, o ACM aproveita esse protocolo para verificar a propriedade do seu domínio. O ACM trabalha em conjunto CloudFront para fornecer a você um URL específico e um token exclusivo que devem ser disponibilizados nesse URL em seu domínio. Esse token serve como prova de que você controla o domínio. Ao configurar um redirecionamento do seu domínio para um local controlado pelo ACM dentro da CloudFront infraestrutura, você demonstra sua capacidade de modificar o conteúdo no domínio, validando assim sua propriedade. Essa integração perfeita entre o ACM CloudFront simplifica o processo de emissão de certificados, especialmente para distribuições. CloudFront 

**Importante**  
A validação por HTTP não oferece suporte a certificados de domínio curingas (como \$1.exemplo.com). Para certificados curingas, use a validação por DNS ou a validação por e-mail.

Por exemplo, se você solicitar um certificado para o `example.com` domínio com `www.example.com` um nome adicional usando CloudFront, o ACM fornecerá dois conjuntos de URLs para validação de HTTP. Cada conjunto contém um URL `redirectFrom` e um URL `redirectTo`, os quais foram criados especificamente para seu domínio e sua conta da AWS . O URL `redirectFrom` é um caminho no seu domínio (por exemplo, `http://example.com/.well-known/pki-validation/example.txt`) que precisa ser configurado. O `redirectTo` URL aponta para um local controlado pelo ACM na CloudFront infraestrutura em que um token de validação exclusivo é armazenado. Você só precisa configurar esses redirecionamentos uma vez. Quando uma autoridade de certificação tenta validar a propriedade do seu domínio, ela solicitará o arquivo da `redirectFrom` URL, que CloudFront redireciona para a `redirectTo` URL, permitindo o acesso ao token de validação. O ACM renova automaticamente seu certificado, desde que o certificado esteja em uso CloudFront e seu redirecionamento permaneça em vigor.

Depois de configurar a validação HTTP para um nome de domínio totalmente qualificado (FQDN) com CloudFront, você pode solicitar certificados ACM adicionais para esse FQDN sem repetir o processo de validação, desde que o redirecionamento HTTP permaneça em vigor. Isso significa que você pode criar certificados de substituição com o mesmo nome de domínio. Também é possível substituir um certificado excluído sem passar pelo processo de validação novamente, desde que o redirecionamento ainda esteja ativo.

Existem duas opções para a interrupção da renovação automática do seu certificado validado por HTTP. Você pode remover o certificado da CloudFront distribuição à qual ele está associado ou excluir o redirecionamento HTTP configurado para validação. Se você estiver usando uma rede de distribuição de conteúdo (CDN) ou um servidor web que não seja CloudFront para gerenciar seus redirecionamentos, consulte a documentação deles para saber como remover um redirecionamento. Se você estiver usando CloudFront para gerenciar seus redirecionamentos, você pode remover o redirecionamento atualizando a configuração da sua distribuição. Para obter mais informações sobre a renovação de certificados gerenciados, consulte [Renovação gerenciada do certificado em AWS Certificate Manager](managed-renewal.md). Lembrete: interromper a renovação automática pode levar à expiração do certificado, o que pode interromper seu tráfego HTTPS.

## Como funcionam os redirecionamentos HTTP para o ACM
<a name="http-redirects-overview"></a>

**nota**  
Esta seção é para clientes que estão usando o ACM CloudFront para entrega de conteúdo e o ACM para gerenciamento de SSL/TLS certificados.

Ao usar a validação HTTP com o ACM e CloudFront, você precisa configurar redirecionamentos HTTP. Esses redirecionamentos permitem que o ACM verifique a propriedade do seu domínio para que ocorra a emissão inicial do certificado e a renovação automática contínua. O mecanismo de redirecionamento funciona apontando um URL específico em seu domínio para um local controlado pelo ACM na CloudFront infraestrutura em que um token de validação exclusivo é armazenado.

A tabela a seguir mostra exemplos de configurações de redirecionamento para nomes de domínio. Observe que a validação por HTTP não oferece suporte a domínios curinga (como \$1.exemplo.com). Cada par **Redirecionar de**-**Redirecionar para** da configuração serve para autenticar a propriedade do nome de domínio.


**Exemplo de configurações de redirecionamento HTTP**  

| Domain name (Nome de domínio) | Redirecionar de | Redirecionar para | Comment | 
| --- | --- | --- | --- | 
| exemplo.com |  `http://example.com/.well-known/pki-validation/x2.txt`  |  `https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt`  |  Exclusivo  | 
| www.exemplo.com |  `http://www.example.com/.well-known/pki-validation/x3.txt`  | `https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt`  |  Exclusivo  | 
| host.exemplo.com |  `http://host.example.com/.well-known/pki-validation/x4.txt`  |  `https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt`  |  Exclusivo  | 
| subdomínio.exemplo.com |  `http://subdomain.example.com/.well-known/pki-validation/x5.txt`  |  `https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt`  |  Exclusivo  | 
| host.subdomínio.exemplo.com |  `http://host.subdomain.example.com/.well-known/pki-validation/x6.txt`  |  `https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt`  |  Exclusivo  | 

Os *xN* valores nos nomes dos arquivos e os *yN* valores nos domínios controlados pelo ACM são identificadores exclusivos gerados pelo ACM. Por exemplo,

```
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

representa um URL **Redirecionar de** gerado. O URL **Redirecionar para** associado pode ser

```
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

para o mesmo registro de validação.

**nota**  
Se seu servidor web ou rede de distribuição de conteúdo não oferecer suporte para a configuração de redirecionamentos no caminho especificado, consulte [Solucionar problemas de validação por HTTP](troubleshooting-HTTP-validation.md).

Quando você solicita um certificado e especifica a validação por HTTP, o ACM fornece as informações de redirecionamento no seguinte formato:


****  

| Nome do domínio | Redirecionar de | Redirecionar para | 
| --- | --- | --- | 
| exemplo.com | http://example.com/.well - known/pki-validation/a 79865eb4cd1a6ab990a45779b4e0b96.txt | https://validation. region.acm-validations.aws/ /.well-known/pki-validation/ a424c7224e9b .txt a79865eb4cd1a6ab990a45779b4e0b96 | 

O *nome do domínio* é o FQDN associado ao certificado. *Redirecionar de* é o URL do seu domínio em que o ACM buscará o arquivo de validação. *Redirecionar para* é o URL controlado pelo ACM no qual o arquivo de validação real está hospedado.

Você precisa configurar seu servidor web ou CloudFront distribuição para redirecionar solicitações do URL de *redirecionamento para o URL de* *redirecionamento*. O método exato para configurar esse redirecionamento depende do software ou da CloudFront configuração do seu servidor web. Configure corretamente o redirecionamento para permitir que o ACM valide a propriedade do seu domínio e emita ou renove seu certificado.

## Configuração da validação por HTTP
<a name="setting-up-http-validation"></a>

O ACM usa a validação HTTP para verificar a propriedade do seu domínio ao emitir SSL/TLS certificados públicos para uso com. CloudFront Esta seção descreve como configurar um certificado público para usar a validação por HTTP.<a name="http-validation-console"></a>

**Para configurar a validação por HTTP no console**
**nota**  
Esse procedimento pressupõe que você já tenha solicitado um certificado CloudFront e que esteja trabalhando na AWS região em que o criou. A validação de HTTP está disponível somente por meio do recurso CloudFront Distribution Tenants.

1. Abra o console do ACM em. [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)

1. Na lista de certificados, escolha o **Certificate ID** (ID do certificado) de um certificado com status **Pending validation** (Validação pendente) que você deseja configurar. Isso abre uma página de detalhes para o certificado.

1. Na seção **Domínios**, você pode ver os valores **Redirecionar de** e **Redirecionar para** de cada domínio em sua solicitação de certificado.

1. Para cada domínio, configure um redirecionamento HTTP do URL **Redirecionar de** para o URL **Redirecionar para**. Você pode fazer isso por meio de sua configuração CloudFront de distribuição.

1. Configure sua CloudFront distribuição para redirecionar solicitações do URL de **redirecionamento para o URL de** **redirecionamento** para. O método para configurar esse redirecionamento depende da sua CloudFront configuração.

1. Depois que os redirecionamentos forem configurados, o ACM tentará validar automaticamente a propriedade do seu domínio. Esse processo pode demorar até 30 minutos.

Se o ACM não puder validar o nome do domínio em até 72 horas a partir do momento em que gera um valor de redirecionamento para você, o ACM altera o status do certificado para **Prazo de validação esgotado**. O motivo mais provável para esse resultado é que os redirecionamentos HTTP não tenham sido configurados. Para corrigir esse problema, você deve solicitar um novo certificado após revisar as instruções de redirecionamento.

**Importante**  
Para evitar problemas de validação, assegure que o conteúdo no local **Redirecionar de** corresponda ao conteúdo no local **Redirecionar para**. Se você tiver problemas, consulte [Solução de problemas de validação por HTTP](troubleshooting-HTTP-validation.md).

**nota**  
Ao contrário da validação por DNS, você não pode solicitar de forma programática que o ACM crie automaticamente seus redirecionamentos HTTP. Você deve definir esses redirecionamentos por meio de suas configurações de CloudFront distribuição.

Para obter mais informações sobre como a validação por HTTP funciona, consulte [Como funcionam os redirecionamentos HTTP para o ACM](#http-redirects-overview).