电子邮件验证 - AWS Certification
电子邮件验证的工作原理注意事项证书过期和续订重新发送验证电子邮件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

电子邮件验证

在 Amazon 证书颁发机构 (CA) 为您的网站颁发证书之前, AWS Certificate Manager (ACM) 必须验证您是否拥有或控制您在请求中指定的所有域名。您可以使用电子邮件或进行验证DNS。本主题讨论电子邮件验证。

如果在使用电子邮件验证时遇到问题,请参阅排查电子邮件验证的问题

电子邮件验证的工作原理

ACM向每个域的以下五封常用系统电子邮件发送验证电子邮件。或者,如果您希望通过该域名接收这些电子邮件,则可以将超级域名指定为验证域。不超过最小网站地址的任何子域名都是有效的,并且用作电子邮件地址的域名作为后缀。@例如,如果您将 example.com 指定为 subdomain.example.com 的验证域,则可以收到一封发送至 admin@example.com 的电子邮件。

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

要证明您拥有该域名,您必须选择这些电子邮件中包含的验证链接。ACM还会在证书到期 45 天后向这些地址发送验证电子邮件以续订证书。

使用ACMAPI或CLI对多域证书请求进行电子邮件验证后,每个请求的域都会发送一封电子邮件,即使请求中包含其他域的子域名也是如此。域名所有者需要先验证每个域名的电子邮件,然后ACM才能颁发证书。

此过程的例外情况

如果您为以开头的域名www或通配符星号 (*) 申请ACM证书,请ACM删除前导www或星号并向管理地址发送电子邮件。这些地址是由在域名的其余部分预置管理员@、管理员@、hostmaster@、postmaster@ 和 webmaster@ 构成的。例如,如果你申请 www.example.com 的ACM证书,则电子邮件将发送到 admin@example.com 而不是 admin@www.example.com。同样,如果你申请 *.test.example.com 的ACM证书,则会将电子邮件发送至 admin@test.example.com。其余的常见管理地址的组成方式类似。

重要

从 2024 年 6 月起,ACM不再支持通过WHOIS联系人地址进行新的电子邮件验证。对于现有证书,从 2024 年 10 月起,ACM不会向域名的WHOIS联系地址发送续订通知。ACM将继续向所请求域的五个通用系统地址发送验证电子邮件。有关更多详细信息,请参阅AWS Certificate Manager 将停止WHOIS查找经过电子邮件验证的证书

注意事项

请注意以下有关电子邮件验证的注意事项。

  • 您需要一个在您的域中注册的工作电子邮件地址才能使用电子邮件验证。设置电子邮件地址的过程不在本指南的讨论范围内。

  • 验证仅适用于由颁发的公开信任的证书ACM。ACM不验证导入的证书或私有 CA 签名的证书的域所有权。ACM无法验证 Amazon VPC 私有托管区域或任何其他私有域中的资源。有关更多信息,请参阅 排查证书验证问题

  • 使用电子邮件验证功能创建证书后,您无法切换到使用DNS验证证书。要使用DNS验证,请删除该证书,然后创建一个使用DNS验证的新证书。

证书过期和续订

ACM证书的有效期为 13 个月(395 天)。续订证书需要域名所有者采取行动。ACM在域名到期前 45 天开始向与域名关联的电子邮件地址发送续订通知。通知中包含一个链接,域名所有者可以点击该链接进行续订。所有列出的域名都经过验证后,ACM将使用相同的域名颁发续订证书ARN。

(可选)重新发送验证电子邮件

每封验证电子邮件都包含一个令牌,您可以使用它批准证书请求。但是,由于批准过程需要的验证电子邮件可能会被垃圾邮件筛选器阻止或在传输中丢失,因此令牌将在 72 小时后自动过期。如果您未收到原始电子邮件或令牌已到期,可以请求重新发送电子邮件。有关如何重新发送验证电子邮件的信息,请参阅 重新发送验证电子邮件

有关电子邮件验证的持久性问题,请参阅故障排除中的排查电子邮件验证的问题部分。