续订 ACM 公有证书 - AWS 证书管理器
续订使用 DNS 验证的域电子邮件验证

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

续订 ACM 公有证书

在颁发托管式的公开信任证书时,AWS Certificate Manager 会要求您证明自己是域拥有者。这可以通过 DNS 验证电子邮件验证的方式进行。当证书需要续订时,ACM 会使用您之前选择的相同方法来重新验证您的所有权。以下主题说明了续订过程在各种情况下的工作机制。

续订通过 DNS 验证的域

对于最初使用 DNS 验证颁发的 ACM 证书,托管续订是完全自动化的。

在过期前 60 天,ACM 会检查以下续订条件:

  • 该证书当前正由AWS服务使用中。

  • ACM 提供的所有必需 DNS CNAME 记录(每个唯一的主题备用名称一个)都存在并可以通过公共 DNS 访问。

如果满足这些条件,ACM 将认为域名已通过验证并续订证书。

当 ACM 在续订期间无法自动验证域时(例如,由于存在 CAA 记录),会发送 AWS Health 事件和 Amazon EventBridge 事件。这些事件将在过期前 45 天、30 天、15 天、7 天、3 天和 1 天发送。有关更多信息,请参阅 亚马逊 EventBridge 支持 ACM

续订使用电子邮件验证的域

ACM 证书的有效期为 13 个月(395 天)。续订证书需要域所有者执行操作。ACM 会在证书到期前 45 天开始向与该域关联的电子邮件地址发送续订通知。该通知会包含一个链接,域所有者可以单击该链接进行续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

有关验证电子邮件的更多信息,请参阅AWS Certificate Manager 电子邮件验证

要了解如何以编程方式回复验证电子邮件,请参阅自动进行 AWS Certificate Manager 电子邮件验证

重新发送验证电子邮件

在请求证书时为您的域配置了电子邮件验证后(请参阅AWS Certificate Manager 电子邮件验证),则可以使用 AWS Certificate Manager API 来请求 ACM 向您发送用于证书续订的域验证电子邮件。您应在以下情况下执行此操作:

  • 您最初请求 ACM 证书时使用的是电子邮件验证。

  • 您的证书的续订状态为等待验证。有关确定证书的续订状态的信息,请参阅检查证书的续订状态

  • 您未收到或无法找到 ACM 为证书续订发送的原始域验证电子邮件。

要将验证电子邮件发送到与您在证书申请中最初配置的域不同的域,您可以在 ACM API、AWS CLI 或 AWS SDK 中使用 ResendValidationEmail 操作。ACM 会将电子邮件发送到指定的验证域。您可以在支持的区域使用 AWS CloudShell,通过浏览器访问 AWS CLI。

请求 ACM 重新发送域验证电子邮件(控制台)

  1. 打开位于 AWS Certificate Managerhttps://console.aws.amazon.com/acm/home 控制台。

  2. 选择需要验证的证书的证书 ID

  3. 选择 Resend validation email(重新发送验证电子邮件)。

请求 ACM 重新发送域验证电子邮件 (ACM API)

在 ACM API 中使用 ResendValidationEmail 操作。在这种情况下,传递证书的 ARN、需要手动验证的域以及您要在其中接收域验证电子邮件的域。以下示例说明如何使用 AWS CLI 执行该操作。此示例包含换行符以便于阅读。

$ aws acm resend-validation-email \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID \
	--domain subdomain.example.com \
	--validation-domain example.com