本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
续订ACM公共证书
在颁发托管、公开信任的证书时, AWS Certificate Manager 要求您证明自己是域名所有者。这是通过DNS验证或电子邮件验证来实现的。当证书需要续订时,请ACM使用您之前选择的相同方法来重新验证您的所有权。以下主题说明了续订过程在各种情况下的工作机制。
续订经验证的域名 DNS
对于最初使用DNS验证签发的ACM证书,托管续订是完全自动的。
在到期前 60 天,ACM检查是否符合以下续订标准:
-
该证书目前正由某人使用 AWS 服务。
-
所有必需ACM的DNSCNAME记录(每个唯一的主题备用名称对应一个)都已存在,可通过公众DNS访问。
如果满足这些标准,则ACM认为域名已通过验证并续订证书。
ACM发送 AWS Health events 和 Amazon EventBridge 事件,当它在续订期间无法自动验证域名时(例如,由于存在CAA记录)。这些事件将在过期前 45 天、30 天、15 天、7 天、3 天和 1 天发送。有关更多信息,请参阅 Amazon EventBridge 支持 ACM。
续订经过电子邮件验证的域名
ACM证书的有效期为 13 个月(395 天)。续订证书需要域名所有者采取行动。ACM在域名到期前 45 天开始向与域名关联的电子邮件地址发送续订通知。通知中包含一个链接,域名所有者可以点击该链接进行续订。所有列出的域名都经过验证后,ACM将使用相同的域名颁发续订证书ARN。
有关验证电子邮件的更多信息,请参阅AWS Certificate Manager 电子邮件验证。
要了解如何以编程方式回复验证电子邮件,请参阅自动化 AWS Certificate Manager 电子邮件验证。
重新发送验证电子邮件
在申请证书时为域名配置电子邮件验证后(请参阅AWS Certificate Manager 电子邮件验证),可以使用 AWS Certificate Manager API请求向您ACM发送一封用于续订证书的域名验证电子邮件。您应在以下情况下执行此操作:
-
您在最初申请ACM证书时使用了电子邮件验证。
-
您的证书的续订状态为等待验证。有关确定证书的续订状态的信息,请参阅检查证书的续订状态。
-
您没有收到或找不到为证书续订而ACM发送的原始域名验证电子邮件。
要将验证电子邮件发送到与您在证书申请中最初配置的域不同的域,您可以使用中的ResendValidationEmail操作 ACMAPI, AWS CLI,或 AWS SDKs。ACM将向指定的验证域发送电子邮件。你可以访问 AWS CLI 在浏览器中使用 AWS CloudShell 在支持的区域。
请求ACM重新发送域名验证电子邮件(控制台)
-
打开 AWS Certificate Manager https://console.aws.amazon.com/acm/家
里的控制台。 -
选择需要验证的证书的证书 ID。
-
选择 Resend validation email(重新发送验证电子邮件)。
请求ACM重新发送域名验证电子邮件 () ACM API
使用中的ResendValidationEmail操作ACMAPI。为此,请ARN传递证书、需要手动验证的域名以及您要接收域名验证电子邮件的域名。以下示例说明如何使用执行此操作 AWS CLI。 为了便于阅读,此示例包含换行符。
$ aws acm resend-validation-email \ --certificate-arn arn:aws:acm:
region
:account
:certificate/certificate_ID
\ --domainsubdomain.example.com
\ --validation-domainexample.com