Amazon Certificate Manager 电子邮件验证 - Amazon 证书 Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Certificate Manager 电子邮件验证

Amazon Certificate Manager (ACM) 必须先确认您拥有或可以控制请求中指定的所有域,然后 Amazon 证书颁发机构 (CA) 才能为网站颁发证书。您可以使用电子邮件或 DNS 执行验证。本主题讨论电子邮件验证。

如果在使用电子邮件验证时遇到问题,请参阅排查电子邮件验证的问题

电子邮件验证的工作原理

对于每个域,ACM 都会将验证电子邮件发送到以下五个常用系统电子邮件地址。如果您希望改为通过该域接收这些电子邮件,则可以将某个超级域指定为验证域。不超过最小网站地址的任何子域都有效,并且会作为 @ 符号之后的后缀用作电子邮件地址域。例如,假设将 example.com 指定为 subdomain.example.com 的验证域,则可能会收到一封发送至 admin@example.com 的电子邮件。

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

要证明您拥有该域的所有权,必须选择这些电子邮件中包含的验证链接。在证书到期前 45 天,ACM 还会向这些地址发送验证电子邮件以续订证书。

对于使用 ACM API 或 CLI 的多域证书请求,进行电子邮件验证会导致每个请求的域都会发送一封电子邮件,即使该请求中包含其他域的子域。域拥有者需要验证每个域的电子邮件消息,然后 ACM 才能颁发证书。

此过程的例外情况

如果您为以 www 或星号通配符 (*) 开头的域名请求 ACM 证书,则 ACM 将删除开头的 www 或星号,并将电子邮件发送到管理地址。这些地址的格式是在域名的剩余部分前面添加 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@。例如,如果您为 www.example.com 请求 ACM 证书,则电子邮件将发送到 admin@example.com 而不是 admin@www.example.com。同样,如果您为 *.test.example.com 请求 ACM 证书,则电子邮件将发送到 admin@test.example.com。其余的常见管理地址的组成方式类似。

重要

从 2024 年 6 月起,ACM 不再支持通过 WHOIS 联系地址进行新的电子邮件验证。对于现有的证书,从 2024 年 10 月起,ACM 将不会向域的 WHOIS 联系地址发送续订通知。ACM 将继续向所请求域的五个通用系统地址发送验证电子邮件。有关更多详细信息,请参阅 Amazon Certificate Manager will discontinue WHOIS lookup for email-validated certificates

注意事项

请注意以下有关电子邮件验证的注意事项。

  • 您需要一个在您的域中注册的工作电子邮件地址才能使用电子邮件验证。设置电子邮件地址的过程不在本指南的讨论范围内。

  • 验证仅适用于 ACM 颁发的公开信任证书。ACM 不会验证导入的证书或由私有 CA 签名的证书的域所有权。ACM 无法验证 Amazon VPC 私有托管区或任何其他私有域中的资源。有关更多信息,请参阅 排查证书验证问题

  • 在创建采用电子邮件验证的证书后,您无法切换到使用 DNS 对其进行验证。要使用 DNS 验证,请删除该证书,然后创建一个使用 DNS 验证的新证书。

证书过期和续订

ACM 证书的有效期为 13 个月(395 天)。续订证书需要域所有者执行操作。ACM 会在证书到期前 45 天开始向与该域关联的电子邮件地址发送续订通知。该通知会包含一个链接,域所有者可以单击该链接进行续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

(可选)重新发送验证电子邮件

每封验证电子邮件都包含一个令牌,您可以使用它批准证书请求。但是,由于批准过程需要的验证电子邮件可能会被垃圾邮件筛选器阻止或在传输中丢失,因此令牌将在 72 小时后自动过期。如果您未收到原始电子邮件或令牌已到期,可以请求重新发送电子邮件。有关如何重新发送验证电子邮件的信息,请参阅重新发送验证电子邮件

有关电子邮件验证的持久性问题,请参阅对 Amazon Certificate Manager 问题进行问题排查中的排查电子邮件验证的问题部分。