选项 2:电子邮件验证 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

选项 2:电子邮件验证

AWS Certificate Manager (ACM) 必须先确认您拥有或可以控制请求中指定的所有域,然后 Amazon 证书颁发机构 (CA) 才能为网站颁发证书。您可以使用电子邮件或 DNS 执行验证。本主题讨论电子邮件验证。有关 DNS 验证的信息,请参阅选项 1:DNS 验证

电子邮件验证的证书仅在原始验证日期的 825 天后续订。825 天之后,域所有者或授权代表必须重新验证域所有权才能续订证书。

如果在使用电子邮件验证时遇到问题,请参阅排查电子邮件验证问题

注意

验证仅适用于由 ACM 颁发的公开信任的证书。ACM 不会验证导入的证书或由私有 CA 签署的证书的域所有权。

ACM 向您指定的每个域的 WHOIS 数据库中列出的三个联系人地址和五个常用系统地址发送电子邮件。也就是说,对于您请求中包含的每个域名和主题备用名称,最多将发送 8 封电子邮件。例如,如果您仅指定一个域名,您最多将收到八封电子邮件。要进行验证,您必须在 72 小时内对这八条消息之一执行操作。如果您指定三个域名,则最多将收到 24 条消息。要进行验证,您必须在 72 小时内对这些电子邮件中的至少 3 封电子邮件执行操作,每封电子邮件对应于您指定的每个名称。

电子邮件将发送到 WHOIS 中的以下三个已注册联系人地址:

  • 域注册者

  • 技术联系人

  • 管理联系人

注意

某些注册商允许您在 WHOIS 列表中隐藏联系人信息,而另一些注册商允许您将真实电子邮件地址替换为私密 (或代理) 地址。为了防止在从 ACM 接收域验证电子邮件时出现问题,请确保您的联系人信息在 WHOIS 中可见。如果您的 WHOIS 列表显示私密电子邮件地址,请确保发送到该地址的电子邮件被转发到您真实的电子邮件地址,或只需改为列出您的真实电子邮件地址。

如果您使用控制台请求证书,ACM 将执行 MX 查找以确定哪些服务器接受您的域的电子邮件,并且对于找到的第一个域,它还会将邮件发送到以下五个常用系统地址。如果您使用 RequestCertificate API 或 request-certificate AWS CLI 命令,则 ACM 不会执行 MX 查找。相反,它会将电子邮件发送到您在 DomainName 参数中或在可选 ValidationDomain 参数中指定的域名称。有关更多信息,请参阅MX 记录

  • 管理员@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • Webmaster@your_domain_name

  • admin@your_domain_name

有关 ACM 如何确定您的域的电子邮件地址的更多信息,请参阅 (可选)为您的域配置电子邮件

注意

上述过程有一个例外。如果您为以 ACM 或星号通配符 (www) 开头的域名请求 * 证书,则 ACM 将删除开头的 www 或星号,并将电子邮件发送到管理地址。通过在域名的剩余部分前面添加 admin@、administrator@、hostmaster@、postmaster@ 和 webmaster@ 来组成这些管理地址。例如,如果您为 www.example.com 请求 ACM 证书,则电子邮件将发送到 admin@example.com 而不是 admin@www.example.com。同样,如果您为 *.test.example.com 请求 ACM 证书,则电子邮件将发送到 admin@test.example.com。其余的常见管理地址的组成方式类似。

注意

确保将电子邮件发送到顶点域 (如 example.com) 的管理地址,而不是发送到子域 (如 test.example.com) 的管理地址。为此,请在 ValidationDomainRequestCertificate API 或 request-certificate 命令中指定 AWS CLI 选项。如果使用控制台请求证书,目前还无法使用此功能。

即使将所有邮件发送到单个电子邮件地址,您也必须为每个域或子域回复一封邮件,以验证它并生成证书。

(可选) 重新发送验证邮件

您可以使用电子邮件来验证自己拥有或可以控制某个域。每封电子邮件都包含一个验证令牌,您可以使用它批准证书请求。但是,由于批准过程需要的验证电子邮件可能会被垃圾邮件筛选器阻止或在传输中丢失,因此验证令牌将在 72 小时后自动过期。如果您未收到原始电子邮件或令牌已到期,可以请求重新发送电子邮件。

有关电子邮件验证的持久性问题,请参阅排查电子邮件验证问题中的Troubleshooting部分。

注意

以下信息仅适用于 ACM 提供的证书,以及使用电子邮件验证的证书。您导入到 ACM 的证书不需要验证电子邮件。有关 DNS 域验证的信息,请参阅选项 1:DNS 验证

使用控制台重新发送验证电子邮件

登录 AWS 管理控制台,并通过以下网址打开 ACM 控制台:https://console.amazonaws.cn/acm/home。对于显示 Pending validation (等待验证) 状态的所列出证书,请选中其复选框,选择 Actions (操作),然后选择 Resend validation email (重新发送验证电子邮件)。如果 72 小时的周期已过,且证书状态已更改为 Timed out,则无法重新发送验证电子邮件。

使用 重新发送验证电子邮件 AWS CLI

您可以使用 resend-validation-email 命令重新发送电子邮件。

aws acm resend-validation-email --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --domain www.example.com --validation-domain example.com
注意

resend-validation-email 命令仅适用于要使用电子邮件验证的 ACM 证书。对于已导入到 ACM 的证书或使用 ACM 管理的私有证书,不需要验证。