验证 Amazon Certificate Manager 公有证书的域所有权 - Amazon Certification
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

验证 Amazon Certificate Manager 公有证书的域所有权

在亚马逊证书颁发机构 (CA) 为您的网站颁发证书之前, Amazon Certificate Manager (ACM) 必须证明您拥有或控制您在申请中指定的所有域名。在申请证书时,您可以选择通过域名系统 (DNS) 验证、电子邮件验证或 HTTP 验证来证明您的所有权。

注意

验证仅适用于 ACM 颁发的公开信任证书。ACM 不会验证导入的证书或由私有 CA 签名的证书的域所有权。ACM 无法验证 Amazon VPC 私有托管区或任何其他私有域中的资源。有关更多信息,请参阅 排查证书验证问题

我们建议使用 DNS 验证而不是电子邮件验证,原因如下:

  • 如果您使用 Amazon Route 53 管理您的公有 DNS 记录,则可以直接通过 ACM 更新您的记录。

  • 只要证书正在使用中,并且别名记录保持存在,ACM 就会自动续订 DNS 验证的证书。

  • 通过电子邮件验证的证书需要域名所有者执行操作才能续订。ACM 会在到期前 45 天开始发送续订通知。这些通知将发送到该域的五个常用管理员地址中的一个或多个地址。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

如果您无法编辑域名的 DNS 数据库,则必须改用电子邮件验证

HTTP 验证适用于与一起使用的证书 CloudFront。此方法使用 HTTP 重定向来证明域名所有权,并提供类似于 DNS 验证的自动续订。

注意

在创建采用电子邮件验证的证书后,您无法切换到使用 DNS 对其进行验证。要使用 DNS 验证,请删除该证书,然后创建一个使用 DNS 验证的新证书。