本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
ACM嘗試在憑證到期前自動更新ACM憑證,這樣您就不需要採取任何動作。如果您有 受管理的憑證續約 AWS Certificate Manager 的相關問題,請參閱下列主題。
準備自動網域驗證
下列條件必須成立,才能自動續訂憑證:ACM
-
您的憑證必須與 AWS 與集成的服務ACM。如需ACM支援資源的相關資訊,請參閱服務整合 ACM。
-
對於經過電子郵件驗證的憑證,ACM必須能夠透過系統管理員電子郵件地址與您聯絡,以取得憑證中列出的每個網域。系統將嘗試的電子郵件地址會列於 AWS Certificate Manager 電郵驗證 中。
-
對於DNS已驗證的憑證,請確定您的DNS組態包含正確的CNAME記錄,如中AWS Certificate Manager DNS驗證所述。
受管憑證續約處理失敗
由於憑證即將到期 (60 天DNS,私人為 45 天)EMAIL,如果憑證符合資格條件,則ACM嘗試更新憑證。您可能必須採取行動才能成功續約。如需詳細資訊,請參閱受管理的憑證續約 AWS Certificate Manager。
經電子郵件驗證之憑證的受管憑證續約
ACM憑證的有效期為 13 個月 (395 天)。續訂憑證需要網域擁有者採取行動。ACM會在到期前 45 天開始傳送續約通知至與網域相關聯的電子郵件地址。通知包含網域擁有者可以按一下進行續約的連結。驗證所有列出的網域後,會以相同的方式ACM發行續約憑證ARN。
請參閱使用電子郵件驗證取得指引,了解如何識別哪些網域處於 PENDING_VALIDATION 狀態,並針對這些網域重複執行驗證程序。
DNS已驗證憑證的受管憑證續約
ACM不會嘗試TLS驗證已驗證DNS的憑證。如果ACM無法更新您通過驗證DNS驗證的憑證,很可能是因為DNS組態中的CNAME記錄遺失或不正確。如果發生這種情況,會ACM通知您無法自動更新憑證。
重要
您必須將正確的CNAME記錄插入到DNS數據庫中。操作方式請洽詢您的網域註冊商。
您可以在主控台中展開憑證及其網域項目,以尋找網域的CNAME記ACM錄。如需詳細資訊,請參閱下圖。您也可以使用ACMAPI或中的描述憑證命令中的DescribeCertificate作業來擷取CNAME記錄。ACM CLI如需詳細資訊,請參閱AWS Certificate Manager DNS驗證。
請從主控台選擇目標憑證。
展開憑證視窗以尋找憑證的CNAME資訊。
如果問題仍存在,請聯絡支援中心
了解續約時機
受管理的憑證續約 AWS Certificate Manager 是非同步的程序。這表示步驟不會緊接著連續發生。驗ACM證憑證中的所有網域名稱後,在ACM取得新憑證之前,可能會有一段延遲。在ACM取得更新憑證的時間到將憑證部署到 AWS 使用它的資源。因此,憑證狀態的變更可能需要數小時才會在主控台顯示。
