本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自动进行 Amazon Certificate Manager 电子邮件验证
通过电子邮件验证的 ACM 证书通常需要域拥有者手动操作。处理大量经电子邮件验证证书的企业可能更愿意创建一个可以自动执行所需响应的解析器。为了帮助客户使用电子邮件验证,本节中的信息介绍了用于域验证电子邮件的模板以及完成验证过程所涉及的工作流。
验证电子邮件模板
验证电子邮件采用以下格式。突出显示的字符串的内容应替换为特定于正在验证的域的值。
验证新证书
电子邮件模板文本:
Greetings from Amazon Web Services, We received a request to issue an SSL/TLS certificate for
requested_domain
. Verify that the following domain, Amazon Web Services account ID, and certificate identifier correspond to a request from you or someone in your organization. Domain:fqdn
Amazon Web Services account ID:account_id
Amazon Web Services Region name:region_name
Certificate Identifier:certificate_identifier
To approve this request, go to Amazon Certificate Approvals (https://region_name
.acm-certificates.amazonaws.cn/approvals?code=validation_code&context=validation_context) and follow the instructions on the page. This email is intended solely for authorized individuals forfqdn
. To express any concerns about this email or if this email has reached you in error, forward it along with a brief explanation of your concern to validation-questions@amazon.com. Sincerely, Amazon Web Services
一旦您收到来自Amazon的新验证消息,我们建议您将其用作解析器的最新和最权威的模板。使用 2020 年 11 月之前设计的消息解析器的客户应注意,可能已对模板进行如下更改:
-
电子邮件主题行现在显示为“
Certificate request for
”而不是“domain name
"Certificate approval for
”。domain name
-
现在,
Amazon account ID
在显示时不带破折号或连字符。 -
Certificate Identifier
现在会显示完整的证书 ARN 而不是简写格式,例如,将显示
而不是arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369
。3b4d78e1-0882-4f51-954a-298ee44ff369
-
证书批准 URL 现在包含
acm-certificates.amazonaws.cn
而不是certificates.amazon.com
。 -
通过单击证书批准 URL 打开的审批表单现在包含批准按钮。批准按钮 div 的名称现在是
approve-button
而不是approval_button
。 -
新请求的证书和续订证书的验证消息具有相同的电子邮件格式。
验证工作流程
本节提供有关经电子邮件验证的证书的续订工作流程相关信息。
-
ACM 控制台处理多域证书请求时,会将验证电子邮件发送到您在请求公有证书时指定的域名或验证域。域拥有者需要验证每个域的电子邮件,然后 ACM 才能颁发证书。有关更多信息,请参阅使用电子邮件验证域所有权。
-
对于使用 ACM API 或 CLI 的多域证书请求,进行电子邮件验证会导致每个请求的域都会发送一封电子邮件,即使该请求中包含其他域的子域。域拥有者需要验证每个域的电子邮件消息,然后 ACM 才能颁发证书。
如果您通过 ACM 控制台重新发送现有证书的电子邮件,则该电子邮件将发送到原始证书请求中指定的验证域,如果未指定验证域,则将发送到所请求的域。要通过其他域接收验证电子邮件,您可以申请新证书,指定要用于验证的验证域。您也可以使用 API、SDK 或 CLI 来调用 ResendValidationEmail,并使用
ValidationDomain
参数。但是,ResendValidationEmail
请求中指定的验证域仅用于该此调用,不会保存到证书的 Amazon 资源名称(ARN)中以用于将来的验证电子邮件。每次您希望通过原始证书申请中未指定的域名来接收验证电子邮件时,都必须调用ResendValidationEmail
。注意
在 2020 年 11 月之前,客户只需验证顶端域,ACM 将颁发一份同时涵盖任何子域的证书。使用此时间之前设计的消息解析器的客户应注意电子邮件验证工作流程的更改。
-
使用 ACM API 或 CLI,您可以强制将多域证书请求的所有验证电子邮件发送到顶端域。在 API 中,使用 RequestCertificate 操作的
DomainValidationOptions
参数来指定ValidationDomain
的值,它是 DomainValidationOption 类型的成员。在 CLI 中,使用 request-certificate 命令的 --domain-validation-options 参数指定ValidationDomain
的值。