本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
發行受管理的公開信任憑證時, AWS Certificate Manager 要求您證明您是域所有者。這通過DNS驗證或電子郵件驗證來發生。憑證要續約時,ACM會使用您先前選擇的相同方法來重新驗證您的擁有權。下列主題描述了續約程序在每一種案例裡運作的方式。
已驗證的網域續約 DNS
對於最初使用DNS驗證發行的ACM憑證,受管續訂是完全自動化的。
在到期前 60 天,ACM檢查以下續訂條件:
-
憑證目前正由 AWS 服務。
-
所有必要ACM提供的DNSCNAME記錄(每個唯一的主體替代名稱一個)都存在並可通過公共DNS訪問。
如果符合這些條件,請ACM考慮已驗證的網域名稱並更新憑證。
ACM發送 AWS Health 無法在續約期間自動驗證網域時的事件和 Amazon EventBridge 事件 (例如,因為存在CAA記錄)。這些活動會在過期前 45 天、30 天、15 天、7 天、3 天和 1 天傳送。如需詳細資訊,請參閱Amazon 對 的 EventBridge 支援 ACM。
電子郵件驗證的網域續約
ACM憑證的有效期為 13 個月 (395 天)。續訂憑證需要網域擁有者採取行動。ACM會在到期前 45 天開始傳送續約通知至與網域相關聯的電子郵件地址。通知包含網域擁有者可以按一下進行續約的連結。驗證所有列出的網域後,會以相同的方式ACM發行續約憑證ARN。
如需有關驗證電子郵件的詳細資訊,請參閱「AWS Certificate Manager 電郵驗證」。
若要瞭解如何以程式設計方式來回應驗證電子郵件,請參閱 自動化 AWS Certificate Manager 電郵驗證。
重新傳送驗證電子郵件
在您要求憑證時為網域設定電子郵件驗證之後 (請參閱AWS Certificate Manager 電郵驗證),您可以使用 AWS Certificate Manager API要求ACM傳送網域驗證電子郵件給您以進行憑證續約。您應在以下情況執行此動作:
-
您在初次要求憑證時使用了電子郵件驗ACM證。
-
您的憑證的續約狀態為待定驗證。如需有關判斷憑證續約狀態的詳細資訊,請參閱 檢查憑證的續約狀態。
-
您沒有收到或找不到ACM傳送憑證續訂的原始網域驗證電子郵件訊息。
要將驗證電子郵件發送到與您最初在證書請求中配置的域不同的ResendValidationEmail域 ACMAPI,您可以在 AWS CLI,或 AWS SDKs。ACM將發送電子郵件到指定的驗證域。您可以存取 AWS CLI 在瀏覽器中使用 AWS CloudShell 在支援的地區。
要求ACM重新傳送網域驗證電子郵件訊息 (主控台)
-
打開 AWS Certificate Manager 控制台在https://console.aws.amazon.com/acm/家
裡。 -
選擇需要驗證憑證的憑證 ID。
-
選擇重新傳送驗證電子郵件。
要求ACM重新傳送網域驗證電子郵件 (ACMAPI)
使用中的ResendValidationEmail作業ACMAPI。如此一來,請傳遞憑證、需要手動驗證的網域,以及您要接收網域驗證電子郵件的網域。ARN下面的例子演示了如何做到這一點 AWS CLI。 此範例包含換行符號,使其更易於閱讀。
$ aws acm resend-validation-email \ --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID\ --domainsubdomain.example.com\ --validation-domainexample.com
