电子邮件验证 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

电子邮件验证

Amazon Certificate Manager (ACM) 必须先确认您拥有或可以控制请求中指定的所有域,然后 Amazon 证书颁发机构 (CA) 才能为网站颁发证书。您可以使用电子邮件或 DNS 执行验证。本主题讨论电子邮件验证。有关 DNS 验证的信息,请参阅DNS 验证

注意

您需要一个在您的域中注册的工作电子邮件地址才能使用电子邮件验证。设置电子邮件地址的过程不在本指南的讨论范围内。

ACM 证书的有效期为 13 个月(395 天)。要续订,通过电子邮件验证的证书需要域拥有者执行操作。ACM 在过期前 45 天开始向域的 WHOIS 邮箱地址和五个常见管理员地址发送续订通知。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

如果在使用电子邮件验证时遇到问题,请参阅排查电子邮件验证的问题

注意

验证仅适用于 ACM 颁发的公开信任证书。ACM 不会验证导入的证书或由私有 CA 签名的证书的域所有权。

ACM 将电子邮件发送到 WHOIS 数据库中列出的 3 个联系人地址,以及您为每个域指定的 5 个常用系统地址。也就是说,对于您请求中包含的每个域名和主题备用名称,将发送最多八封电子邮件。例如,如果您仅指定一个域名,您最多将收到八封电子邮件。要进行验证,您必须在 72 小时内对这八封电子邮件中的一封进行操作。如果您指定三个域名,您最多将收到 24 封电子邮件。要进行验证,您必须在 72 小时内对这些电子邮件中的至少三封电子邮件(指定的每个名称对应一封电子邮件)进行操作。

电子邮件将发送到 WHOIS 中的以下三个已注册联系人地址:

  • 域注册者

  • 技术联系人

  • 管理联系人

注意

某些注册商允许您在 WHOIS 列表中隐藏联系人信息,而另一些注册商允许您将真实电子邮件地址替换为私密 (或代理) 地址。为了防止在从 ACM 接收域验证电子邮件时出现问题,请确保您的联系人信息在 WHOIS 中可见。如果您的 WHOIS 列表显示私密电子邮件地址,请确保发送到该地址的电子邮件被转发到您真实的电子邮件地址,或只需改为列出您的真实电子邮件地址。

如果您使用控制台请求证书,ACM 将执行 MX 查找以确定哪些服务器接受您的域的电子邮件,并且对于找到的第一个域,它还会将邮件发送到以下五个常用系统地址。如果您使用 RequestCertificate API 或 request-certificate Amazon CLI 命令,则 ACM 不会执行 MX 查找。它会将电子邮件发送到您在 DomainName 参数或在 ValidationDomain 可选参数中指定的域名称。有关更多信息,请参阅 MX 记录

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

有关 ACM 如何确定您的域的电子邮件地址的更多信息,请参阅 (可选)为域配置电子邮件

此过程的例外情况

如果您为以 www 或星号通配符 (*) 开头的域名请求 ACM 证书,则 ACM 将删除开头的 www 或星号,并将电子邮件发送到管理地址。通过在域名的剩余部分前面添加 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 来组成这些管理地址。例如,如果您为 www.example.com 请求 ACM 证书,则电子邮件将发送到 admin@example.com 而不是 admin@www.example.com。同样,如果您为 *.test.example.com 请求 ACM 证书,则电子邮件将发送到 admin@test.example.com。其余的常见管理地址的组成方式类似。

注意

确保将电子邮件发送到顶点域 (如 example.com) 的管理地址,而不是发送到子域 (如 test.example.com) 的管理地址。为此,请在 ValidationDomainRequestCertificate API 或 request-certificate 命令中指定 Amazon CLI 选项。如果使用控制台请求证书,目前还无法使用此功能。

即使所有邮件都发送到一个电子邮件地址,您也必须响应每个域或子域的一封邮件,以便验证该域并生成证书。

证书过期和续订

ACM 证书的有效期为 13 个月(395 天)。要续订,通过电子邮件验证的证书需要域拥有者执行操作。ACM 在过期前 45 天开始向域的 WHOIS 邮箱地址和五个常见管理员地址发送续订通知。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

(可选)重新发送验证邮件

您可以使用电子邮件来验证自己拥有或可以控制某个域。每封电子邮件都包含一个验证令牌,您可以使用它批准证书请求。但是,由于批准过程需要的验证电子邮件可能会被垃圾邮件筛选器阻止或在传输中丢失,因此验证令牌将在 72 小时后自动过期。如果您未收到原始电子邮件或令牌已到期,可以请求重新发送电子邮件。

有关电子邮件验证的持久性问题,请参阅排查电子邮件验证的问题中的Troubleshooting部分。

注意

以下信息仅适用于 ACM 提供的证书,以及使用电子邮件验证的证书。您导入到 ACM 中的证书不需要验证电子邮件。有关 DNS 域验证的信息,请参阅DNS 验证

使用控制台重新发送验证电子邮件

登录Amazon管理控制台并从以下位置打开 ACM 控制台:https://console.aws.amazon.com/acm/home。对于显示 Pending validation (等待验证) 状态的所列出证书,请选中其复选框,选择 Actions (操作),然后选择 Resend validation email (重新发送验证电子邮件)。如果 72 小时的周期已过,且证书状态已更改为 Timed out,则无法重新发送验证电子邮件。

要使用 Amazon CLI 重新发送验证电子邮件

您可以使用 resend-validation-email 命令重新发送电子邮件。

$ aws acm resend-validation-email --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --domain www.example.com --validation-domain example.com
注意

resend-validation-email 命令仅适用于要使用电子邮件验证的 ACM 证书。对于已导入到 ACM 的证书或使用 ACM 管理的私有证书,不需要验证。