AWS App Runner 自 2026 年 4 月 30 日起,不再開放給新客戶。如果您想要使用 App Runner,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS App Runner 可用性變更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 自訂網域名稱
本節涵蓋如何對連結至自訂網域時可能遇到的各種錯誤進行故障診斷和解決。
**注意**
為了增強 App Runner 應用程式的安全性,在[公有尾碼清單 (PSL) 中註冊](https://publicsuffix.org/) *\$1.awsapprunner.com *網域。為了進一步提高安全性,如果您需要在 App Runner 應用程式的預設網域名稱中設定敏感 Cookie,建議您使用具有`__Host-`字首的 Cookie。此做法將有助於保護您的網域免受跨站請求偽造 (CSRF) 攻擊。如需更多資訊,請參閱 Mozilla 開發人員網路中的[設定 Cookie](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#cookie_prefixes) 頁面。
## 取得自訂網域的建立失敗錯誤
+ 檢查此錯誤是否為 CAA 記錄的問題所致。如果 DNS 樹狀目錄中沒有 CAA 記錄,您會收到訊息 `fail open`,並 AWS Certificate Manager 發出憑證來驗證自訂網域。這可讓 App Runner 接受自訂網域。如果您在 DNS 記錄中使用 CAA 憑證,請確定至少一個網域的 CAA 記錄包含 `amazon.com`。否則,ACM 無法發出憑證。因此,無法建立 App Runner 的自訂網域。
下列範例使用 DNS 查詢工具 *DiG* 來顯示缺少必要項目的 CAA 記錄。此範例使用 `example.com`做為自訂網域。在範例中執行下列命令,以檢查 CAA 記錄。
```
...
;; QUESTION SECTION:
;example.com. IN CAA
;; ANSWER SECTION:
example.com. 7200 IN CAA 0 iodef "mailto:hostmaster@example.com"
example.com. 7200 IN CAA 0 issue "letsencrypt.org"
...note absence of "amazon.com" in any of the above CAA records...
```
+ 更正網域記錄,並確保至少一個 CAA 記錄包含 `amazon.com`。
+ 重試將自訂網域與 App Runner 連結。
如需如何解決 CAA 錯誤的說明,請參閱以下內容:
+ [憑證授權機構授權 (CAA) 問題](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-caa.html)
+ [如何解決發行或續約 ACM 憑證的 CAA 錯誤?](https://aws.amazon.com/premiumsupport/knowledge-center/acm-troubleshoot-caa-errors/)
## 取得自訂網域的 DNS 憑證驗證擱置錯誤
+ 檢查您是否略過自訂網域設定中的重要步驟。此外,請檢查您是否使用 *DiG* 等 DNS 查詢工具來設定不正確的 DNS 記錄。特別是,請檢查下列錯誤:
+ 任何遺漏的步驟。
+ 不支援的字元,例如 DNS 記錄中的雙引號。
+ 更正錯誤。
+ 重試將自訂網域與 App Runner 連結。
如需如何解決 CAA 驗證錯誤的說明,請參閱以下內容。
+ [DNS 驗證](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html)
+ [管理 App Runner 服務的自訂網域名稱](manage-custom-domains.md)
## 基本疑難排解命令
+ 確認可以找到服務。
```
aws apprunner list-services
```
+ 描述服務並檢查其狀態。
```
aws apprunner describe-service --service-arn
```
+ 檢查自訂網域的狀態。
```
aws apprunner describe-custom-domains --service-arn
```
+ 列出所有進行中的操作。
```
aws apprunner list-operations --service-arn
```
## 自訂網域憑證續約
當您將自訂網域新增至服務時,App Runner 會為您提供一組您新增至 DNS 伺服器的 CNAME 記錄。這些 CNAME 記錄包含憑證記錄。App Runner 使用 AWS Certificate Manager (ACM) 驗證網域。App Runner 會驗證這些 DNS 記錄,以確保持續擁有此網域。如果您從 DNS 區域移除 CNAME 記錄,App Runner 就無法再驗證 DNS 記錄,而且自訂網域憑證無法自動續約。
本節說明如何解決下列自訂網域憑證續約問題:
+ [CNAME 已從 DNS 伺服器移除](#cname-removed.troubleshoot).
+ [憑證已過期](#certificate-expired.troubleshoot).
### CNAME 已從 DNS 伺服器移除
+ 使用 [DescribeCustomDomains](https://docs.aws.amazon.com/apprunner/latest/api/API_DescribeCustomDomains.html) API 或從 App Runner 主控台的**自訂網域**設定擷取 CNAME 記錄。如需已儲存 CNAMEs的資訊,請參閱 [CertificateValidationRecords](https://docs.aws.amazon.com/apprunner/latest/api/API_CustomDomain.html#apprunner-Type-CustomDomain-CertificateValidationRecords)。
+ 將憑證驗證 CNAME 記錄新增至您的 DNS 伺服器。然後,App Runner 可以驗證您擁有該網域。新增 CNAME 記錄後,最多可能需要 30 分鐘才能傳播 DNS 記錄。App Runner 和 ACM 可能需要幾個小時才能重試憑證續約程序。如需如何新增 CNAME 記錄的說明,請參閱 [管理自訂網域](manage-custom-domains.md#manage-custom-domains.manage)。
### 憑證已過期
+ 使用 App Runner 主控台或 API 取消關聯 (取消連結),然後關聯 (連結) App Runner 服務的自訂網域。App Runner 會建立新的憑證驗證 CNAME 記錄。
+ 將新的憑證驗證 CNAME 記錄新增至您的 DNS 伺服器。
如需如何取消關聯 (取消連結) 和關聯 (連結) 自訂網域的指示,請參閱 [管理自訂網域](manage-custom-domains.md#manage-custom-domains.manage)。
### 如何驗證憑證已成功續約
您可以檢查憑證記錄的狀態,以確認您的憑證已成功續約。您可以使用 curl 等工具來檢查憑證的狀態。
如需憑證續約的詳細資訊,請參閱下列連結:
+ [為什麼我的 ACM 憑證標示為不符合續約資格?](https://aws.amazon.com/premiumsupport/knowledge-center/acm-certificate-ineligible/)
+ [ACM 憑證的受管續約 ](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html)
+ [DNS 驗證](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html)