本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更新 ACM 公有憑證
發行受管、公開信任的憑證時, AWS Certificate Manager 會要求您證明您是網域擁有者。透過 DNS 驗證或電子郵件驗證時,就會發生這種情況。當憑證需要續約時,ACM 會使用您之前選擇的相同方法來重新驗證您的擁有權。下列主題描述了續約程序在每一種案例裡運作的方式。
續約透過 DNS 驗證的網域
原本使用 DNS 驗證的 ACM 憑證之受管續約作業完全自動化,。
ACM 會在過期前 60 天檢查以下續約條件:
-
AWS 服務目前正在使用憑證。
-
所有由 ACM 提供的必要 DNS CNAME 記錄 (每個唯一的主題備用名稱一個) 皆存在且可透過公有 DNS 存取。
如果這些條件都符合,ACM 會將網域名稱視為已驗證並續約憑證。
當 ACM 在續約期間無法自動驗證網域時 (例如,因為有 CAA 記錄),ACM 會傳送 AWS Health 事件和 Amazon EventBridge 事件。這些活動會在過期前 45 天、30 天、15 天、7 天、3 天和 1 天傳送。如需詳細資訊,請參閱ACM 的 Amazon EventBridge 支援。
電子郵件驗證網域的續約
ACM 憑證的有效期限為 13 個月 (395 天)。續約憑證需要網域擁有者執行動作。ACM 會在過期前 45 天開始將續約通知傳送至與網域相關聯的電子郵件地址。通知包含網域擁有者可以按一下以進行續約的連結。驗證所有列出的網域後,ACM 會發行具有相同 ARN 的續約憑證。
如需有關驗證電子郵件的詳細資訊,請參閱「AWS Certificate Manager 電子郵件驗證」。
若要瞭解如何以程式設計方式來回應驗證電子郵件,請參閱 自動化 AWS Certificate Manager 電子郵件驗證。
重新傳送驗證電子郵件
在您請求憑證時為網域設定電子郵件驗證後 (請參閱 AWS Certificate Manager 電子郵件驗證),您可以使用 AWS Certificate Manager API 請求 ACM 傳送網域驗證電子郵件給您以進行憑證續約。您應在以下情況執行此動作:
-
您在一開始請求 ACM 憑證時使用電子郵件驗證。
-
您的憑證的續約狀態為待定驗證。如需有關判斷憑證續約狀態的詳細資訊,請參閱 檢查憑證的續約狀態。
-
您無法接收或找不到 ACM 針對憑證續約傳送的原始網域驗證電子郵件訊息。
若要將驗證電子郵件傳送至與原始憑證請求中所設定不同的網域,您可以使用 ACM API AWS CLI或 AWS SDKs中的 ResendValidationEmail 操作。ACM 會傳送電子郵件至指定的驗證網域。您可以在支援的區域中使用 在 AWS CLI 瀏覽器 AWS CloudShell 中存取 。
請求 ACM 重新傳送網域驗證電子郵件訊息 (主控台)
-
在 https://https://console.aws.amazon.com/acm/home
開啟 AWS Certificate Manager 主控台。 -
選擇需要驗證憑證的憑證 ID。
-
選擇重新傳送驗證電子郵件。
請求 ACM 重新傳送網域驗證電子郵件 (ACM API)
在 ACM API 中使用 ResendValidationEmail 作業。透過此動作來傳遞憑證 ARN、需要手動驗證的網域和您要接收網域驗證電子郵件的網域。以下範例顯示如何使用 AWS CLI執行此作業。此範例含分行符號以利閱讀。
$ aws acm resend-validation-email \ --certificate-arn arn:aws:acm:
region
:account
:certificate/certificate_ID
\ --domainsubdomain.example.com
\ --validation-domainexample.com