电子邮件验证 - Amazon Certificate Manager
证书过期和续订重新发送验证电子邮件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

电子邮件验证

Amazon Certificate Manager (ACM) 必须先确认您拥有或可以控制请求中指定的所有域,然后 Amazon 证书颁发机构 (CA) 才能为网站颁发证书。您可以使用电子邮件或 DNS 执行验证。本主题讨论电子邮件验证。有关 DNS 验证的信息,请参阅DNS 验证

请注意以下有关电子邮件验证的注意事项。

  • 您需要一个在您的域中注册的工作电子邮件地址才能使用电子邮件验证。设置电子邮件地址的过程不在本指南的讨论范围内。

  • 验证仅适用于 ACM 颁发的公开信任证书。ACM 不会验证导入的证书或由私有 CA 签名的证书的域所有权。ACM 无法验证 Amazon VPC 私有托管区或任何其他私有域中的资源。有关更多信息,请参阅排查证书验证问题

  • 在创建采用电子邮件验证的证书后,您无法切换到使用 DNS 对其进行验证。

ACM 证书的有效期为 13 个月(395 天)。要续订,通过电子邮件验证的证书需要域拥有者执行操作。ACM 在过期前 45 天开始向域的 WHOIS 邮箱地址和五个常用管理员地址发送续订通知。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

如果在使用电子邮件验证时遇到问题,请参阅排查电子邮件验证的问题

ACM 将电子邮件发送到 WHOIS 数据库中列出的 3 个联系人地址,以及您为每个域指定的 5 个常用系统地址。也就是说,对于您请求中包含的每个域名和主题备用名称,将发送最多八封电子邮件。例如,如果您仅指定一个域名,您最多将收到八封电子邮件。要进行验证,您必须在 72 小时内对这八封电子邮件中的一封进行操作。如果您指定三个域名,您最多将收到 24 封电子邮件。要进行验证,您必须在 72 小时内对这些电子邮件中的至少三封电子邮件(指定的每个名称对应一封电子邮件)进行操作。

电子邮件将发送到 WHOIS 中的以下三个已注册联系人地址:

  • 域注册者

  • 技术联系人

  • 管理联系人

注意

某些注册商允许您在 WHOIS 列表中隐藏联系人信息,而另一些注册商允许您将真实电子邮件地址替换为私密 (或代理) 地址。为了防止在从 ACM 接收域验证电子邮件时出现问题,请确保您的联系人信息在 WHOIS 中可见。如果您的 WHOIS 列表显示私密电子邮件地址,请确保发送到该地址的电子邮件被转发到您真实的电子邮件地址,或只需改为列出您的真实电子邮件地址。

如果您使用控制台请求证书,ACM 将执行 MX 查找以确定哪些服务器接受您的域的电子邮件,并且对于找到的第一个域,它还会将邮件发送到以下五个常用系统地址。如果您使用 RequestCertificate API 或 request-certificate Amazon CLI 命令,则 ACM 不会执行 MX 查找。它会将电子邮件发送到您在 DomainName 参数或在 ValidationDomain 可选参数中指定的域名称。有关更多信息,请参阅MX 记录

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

有关 ACM 如何确定您的域的电子邮件地址的更多信息,请参阅 (可选)为域配置电子邮件

此过程的例外情况

如果您为以 www 或星号通配符 (*) 开头的域名请求 ACM 证书,则 ACM 将删除开头的 www 或星号,并将电子邮件发送到管理地址。通过在域名的剩余部分前面添加 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 来组成这些管理地址。例如,如果您为 www.example.com 请求 ACM 证书,则电子邮件将发送到 admin@example.com 而不是 admin@www.example.com。同样,如果您为 *.test.example.com 请求 ACM 证书,则电子邮件将发送到 admin@test.example.com。其余的常见管理地址的组成方式类似。

注意

确保将电子邮件发送到顶点域 (如 example.com) 的管理地址,而不是发送到子域 (如 test.example.com) 的管理地址。为此,请在 ValidationDomainRequestCertificate API 或 request-certificatehttps://docs.amazonaws.cn/cli/latest/reference/acm/request-certificate.html 命令中指定 Amazon CLI 选项。如果使用控制台请求证书,目前还无法使用此功能。

即使所有邮件都发送到一个电子邮件地址,您也必须响应每个域或子域的一封邮件,以便验证该域并生成证书。

证书过期和续订

ACM 证书的有效期为 13 个月(395 天)。要续订,通过电子邮件验证的证书需要域拥有者执行操作。ACM 在过期前 45 天开始向域的 WHOIS 邮箱地址和五个常用管理员地址发送续订通知。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

有关更多信息,请参阅上面的电子邮件验证

(可选)重新发送验证邮件

每封验证电子邮件都包含一个令牌,您可以使用它批准证书请求。但是,由于批准过程需要的验证电子邮件可能会被垃圾邮件筛选器阻止或在传输中丢失,因此令牌将在 72 小时后自动过期。如果您未收到原始电子邮件或令牌已到期,可以请求重新发送电子邮件。

有关电子邮件验证的持久性问题,请参阅故障排除中的排查电子邮件验证的问题部分。

注意

以下信息仅适用于 ACM 提供的证书,以及使用电子邮件验证的证书。私有 PKI 证书或您导入到 ACM 中的证书不需要验证电子邮件。有关 DNS 域验证的信息,请参阅DNS 验证

使用控制台重新发送验证电子邮件

  1. 登录Amazon管理控制台并从以下位置打开 ACM 控制台:https://console.aws.amazon.com/acm/home

  2. 在证书列表中,请选择要验证的证书的 Certificate ID(证书 ID)。此操作将打开详细信息页面。

    注意

    根据您对列表排序的方式,您要查找的证书可能不会立即可见。您可以点击右侧的黑色三角形来更改顺序。您还可以使用右上角的页码浏览多页证书。

  3. Domains(域)部分,选择 Resend validation email(重新发送验证电子邮件),选择每个需要验证的域,然后选择 Resend(重新发送)。此时应该会显示 Successfully resent validation emails(已成功重新发送验证电子邮件)横幅。

要使用 Amazon CLI 重新发送验证电子邮件

您可以使用 resend-validation-email 命令重新发送电子邮件。

$ aws acm resend-validation-email --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID --domain www.example.com --validation-domain example.com
注意

resend-validation-email 命令仅适用于要使用电子邮件验证的 ACM 证书。对于已导入到 ACM 的证书或使用 ACM 管理的私有证书,不需要验证。