對受管憑證續約進行故障診斷 - AWS Certificate Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對受管憑證續約進行故障診斷

ACM 會在 ACM 憑證過期之前嘗試自動續約,您無須執行任何動作。如果您有 中的受管憑證續約 AWS Certificate Manager 的相關問題,請參閱下列主題。

準備自動網域驗證

必須符合下列條件,ACM 才可以自動續約您的憑證:

  • 您的憑證必須與與 ACM 整合 AWS 的服務相關聯。如需有關 ACM 支援的資源的資訊,請參閱 與 ACM 整合的服務

  • 對於電子郵件驗證的憑證,ACM 必須能透過憑證中列出之每個網域的管理員電子郵件地址來聯繫您。系統將嘗試的電子郵件地址會列於 AWS Certificate Manager 電子郵件驗證 中。

  • 對於 DNS 驗證的憑證,請確定您的 DNS 組態包含正確的 CNAME 記錄,如 AWS Certificate Manager DNS 驗證 中所述。

受管憑證續約處理失敗

憑證即將到期 (DNS 為 60 天、電子郵件為 45 天,私人憑證為 60 天),如果憑證符合資格條件,ACM 會嘗試更新憑證。您可能必須採取行動才能成功續約。如需詳細資訊,請參閱中的受管憑證續約 AWS Certificate Manager

經電子郵件驗證之憑證的受管憑證續約

ACM 憑證的有效期限為 13 個月 (395 天)。續約憑證需要網域擁有者執行動作。ACM 會在過期前 45 天開始將續約通知傳送至與網域相關聯的電子郵件地址。通知包含網域擁有者可以按一下以進行續約的連結。驗證所有列出的網域後,ACM 會發行具有相同 ARN 的續約憑證。

請參閱使用電子郵件驗證取得指引,了解如何識別哪些網域處於 PENDING_VALIDATION 狀態,並針對這些網域重複執行驗證程序。

經 DNS 驗證之憑證的受管憑證續約

ACM 不會嘗試對經 DNS 驗證的憑證進行 TLS 驗證。如果 ACM 無法將您之前透過 DNS 驗證的憑證續約,最有可能的原因是 DNS 組態中的 CNAME 記錄遺失或不準確。如果發生這種情況,ACM 會通知您可能無法自動續約憑證。

重要

您必須將正確的 CNAME 記錄插入您的 DNS 資料庫。操作方式請洽詢您的網域註冊商。

您可以在 ACM 主控台中展開您的憑證及其網域項目,尋找您網域的 CNAME 記錄。如需詳細資訊,請參閱下圖。若要擷取 CNAME 記錄,您也可以在 ACM API 中使用 DescribeCertificate 作業,或在 ACM CLI 中使用 describe-certificate 命令。如需詳細資訊,請參閱AWS Certificate Manager DNS 驗證

請從主控台選取目標憑證。

請從主控台選擇目標憑證。

展開憑證視窗,以尋找憑證的 CNAME 資訊。

展開憑證視窗,以尋找憑證的 CNAME 資訊。

如果問題仍存在,請聯絡支援中心

了解續約時機

中的受管憑證續約 AWS Certificate Manager 是非同步的程序。這表示步驟不會緊接著連續發生。驗證 ACM 憑證中的所有網域名稱後,ACM 取得新憑證的過程可能會發生延遲。ACM 取得續約後的憑證到將憑證部署至使用該憑證的 AWS 資源期間,可能還會發生延遲。因此,憑證狀態的變更可能需要數小時才會在主控台顯示。