本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 验证 Amazon Certificate Manager 公有证书的域名所有权 在 Amazon 证书颁发机构 (CA) 能够为您的网站颁发证书以前, Amazon Certificate Manager (ACM) 必须先确认您拥有或可以控制请求中指定的所有域名。在申请证书时,您可以选择通过域名系统 (DNS) 验证、电子邮件验证或 HTTP 验证来证明您的所有权。 **注意** 验证仅适用于 ACM 颁发的公开信任证书。ACM 不会验证[导入的证书](import-certificate.md)或由私有 CA 签名的证书的域所有权。ACM 无法验证 Amazon VPC [私有托管区](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones)或任何其他私有域中的资源。有关更多信息,请参阅 [排查证书验证问题](certificate-validation.md)。 我们建议使用 DNS 验证而不是电子邮件验证,原因如下: + 如果您使用 Amazon Route 53 管理您的公有 DNS 记录,则可以直接通过 ACM 更新您的记录。 + 只要证书正在使用中,并且别名记录保持存在,ACM 就会自动续订 DNS 验证的证书。 + 通过电子邮件验证的证书需要域拥有者执行操作才能续订。ACM 会在到期前 45 天开始发送续订通知。这些通知将发送到该域的五个常用管理员地址中的一个或多个地址。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。 如果您无法编辑域的 DNS 数据库,则必须使用[电子邮件验证](email-validation.md)。 HTTP 验证适用于与一起使用的证书 CloudFront。此方法使用 HTTP 重定向来证明域所有权,并提供类似于 DNS 验证的自动续订。 **注意** 在创建采用电子邮件验证的证书后,您无法切换到使用 DNS 对其进行验证。要使用 DNS 验证,请删除该证书,然后创建一个使用 DNS 验证的新证书。 **Topics** + [Amazon Certificate Manager 域名系统验证](dns-validation.md) + [Amazon Certificate Manager 电子邮件验证](email-validation.md) + [Amazon Certificate Manager HTTP 验证](http-validation.md)