自动化电子邮件验证 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自动化电子邮件验证

ACM 通过电子邮件验证的 证书通常需要由域拥有者手动干预。处理大量电子邮件验证的证书的组织可能希望创建能够自动执行所需响应的分析器。为了帮助客户使用电子邮件验证,本节中的信息介绍了用于域验证电子邮件的模板以及完成验证过程所涉及的工作流程。

验证电子邮件模板

验证电子邮件具有以下格式。突出显示的字符串的内容应替换为特定于将验证的域的值。

Greetings from Amazon Web Services, We received a request to issue an SSL/TLS certificate for $requested_domain. Verify that the following domain, AWS account ID, and certificate identifier correspond to a request from you or someone in your organization. Domain: $fqdn AWS account ID: $account_id AWS Region name: $region_name Certificate Identifier: $certificate_identifier To approve this request, go to Amazon Certificate Approvals (https://$region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context) and follow the instructions on the page. This email is intended solely for authorized individuals for $fqdn. To express any concerns about this email or if this email has reached you in error, forward it along with a brief explanation of your concern to validation-questions@amazon.com. Sincerely, Amazon Web Services
注意

收到来自 AWS 的新验证消息后,建议您将其用作解析程序的最新且权威的模板。

具有 2020 年 11 月之前设计的消息解析程序的客户应注意以下可能对模板进行的更改。

  • 电子邮件主题行现在显示为“Certificate request for .domain name“”,而不是“Certificate approval for domain name".

  • 账户 IDAWS 现在不带破折号或连字符显示。 

  • Certificate Identifier (证书标识符) 现在显示整个证书 ARN,而不是缩写格式,例如,arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369 而不是 3b4d78e1-0882-4f51-954a-298ee44ff369.

  • 证书批准 URL 现在包含 acm-certificates.amazon.com 而不是 certificates.amazon.com

  • 通过单击证书审批 URL 打开的审批表单现在包含审批按钮。审批按钮 div 的名称现在为 approve-button,而不是 approval_button

  • 新请求证书和续订证书的验证消息具有相同的电子邮件格式。

验证工作流

此部分提供有关电子邮件验证的证书的续订工作流程的信息。

  • 当 ACM 控制台处理多域证书请求时,它会向找到的第一个包含 MX 记录的域发送验证电子邮件。域拥有者需要为每个域验证电子邮件,然后 ACM 才能颁发证书。有关更多信息,请参阅使用电子邮件验证域所有权

  • 使用 ACM API 或 CLI 的多域证书请求的电子邮件验证导致默认情况下向顶级域和每个子域发送电子邮件。域拥有者需要验证每个域的电子邮件,然后 ACM 才能颁发证书。

    注意

    在 2020 年 11 月之前,客户需要仅验证顶级域,ACM 将颁发还涵盖任何子域的证书。具有该时间之前设计的消息解析程序的客户应注意电子邮件验证工作流的更改。

  • 借助 ACM API 或 CLI,您可以强制将多域证书请求的所有验证电子邮件发送到顶级域。在 API 中,使用 DomainValidationOptionsRequestCertificate 操作的 ValidationDomain 参数指定 的值,这是 DomainValidationOption 类型的成员。在 CLI 中,使用 --domain-validation-optionsrequest-certificate 命令的 参数指定 ValidationDomain 的值。