自动化电子邮件验证 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

自动化电子邮件验证

通过电子邮件验证的 ACM 证书通常需要域拥有者的手动干预。处理大量经电子邮件验证证书的企业可能更愿意创建一个可以自动执行所需响应的解析器。为了帮助客户使用电子邮件验证,本节中的信息介绍了用于域验证电子邮件的模板以及完成验证过程所涉及的工作流。

验证电子邮件模板

验证电子邮件采用以下格式。突出显示的字符串的内容应替换为特定于正在验证的域的值。

Greetings from Amazon Web Services, We received a request to issue an SSL/TLS certificate for requested_domain. Verify that the following domain, Amazon Web Services account ID, and certificate identifier correspond to a request from you or someone in your organization. Domain: fqdn Amazon Web Services account ID: account_id Amazon Web Services Region name: region_name Certificate Identifier: certificate_identifier To approve this request, go to Amazon Certificate Approvals (https://region_name.acm-certificates.amazonaws.cn/approvals?code=validation_code&context=validation_context) and follow the instructions on the page. This email is intended solely for authorized individuals for fqdn. To express any concerns about this email or if this email has reached you in error, forward it along with a brief explanation of your concern to validation-questions@amazon.com. Sincerely, Amazon Web Services
注意

一旦您收到来自Amazon的新验证消息,我们建议您将其用作解析器的最新和最权威的模板。

使用 2020 年 11 月之前设计的消息解析器的客户应注意,可能已对模板进行如下更改。

  • 电子邮件主题行现在显示为“Certificate request for domain name”而不是“"Certificate approval for domain name”。

  • 现在,Amazon account ID 在显示时不带破折号或连字符。 

  • Certificate Identifier 现在会显示完整的证书 ARN 而不是简写格式,例如,将显示 arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369 而不是 3b4d78e1-0882-4f51-954a-298ee44ff369

  • 证书批准 URL 现在包含 acm-certificates.amazonaws.cn 而不是 certificates.amazon.com

  • 通过单击证书批准 URL 打开的审批表单现在包含批准按钮。批准按钮 div 的名称现在是 approve-button 而不是 approval_button

  • 新请求的证书和续订证书的验证消息具有相同的电子邮件格式。

验证工作流程

本节提供有关经电子邮件验证的证书的续订工作流程相关信息。

  • ACM 控制台处理多域证书请求时,它会将验证电子邮件发送到它找到的第一个包含 MX 记录的域。域拥有者需要验证每个域的电子邮件,然后 ACM 才能颁发证书。有关更多信息,请参阅使用电子邮件验证域所有权

  • 使用 ACM API 或 CLI 对多域证书请求进行电子邮件验证,会导致预设情况下将电子邮件发送到顶端域和每个子域。域拥有者需要验证每个域的电子邮件消息,然后 ACM 才能颁发证书。

    注意

    在 2020 年 11 月之前,客户只需验证顶端域,ACM 将颁发一份同时涵盖任何子域的证书。使用此时间之前设计的消息解析器的客户应注意电子邮件验证工作流程的更改。

  • 使用 ACM API 或 CLI,您可以强制将多域证书请求的所有验证电子邮件发送到顶端域。在 API 中,使用 RequestCertificate 操作的 DomainValidationOptions 参数来指定 ValidationDomain 的值,它是 DomainValidationOption 类型的成员。在 CLI 中,使用 request-certificate 命令的 --domain-validation-options 参数指定 ValidationDomain 的值。