自动验证的工作原理 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自动验证的工作原理

续订证书之前,ACM 会尝试自动验证证书中的每个域名。如果证书正在使用中(即与 AWS 与整合的服务 ACM),并且如果证书中的所有域名都可以被验证, ACM 续订证书。如果 ACM 无法自动验证域名,它会通知域所有者需要手动操作来验证域并完成证书续订。

DNS验证域的续订

要重新验证最初由DNS验证的域, ACM 在到期前60天检查证书是否正在使用中,然后检查域的DNS记录。如果所需的CNAME令牌存在且可访问, ACM 会考虑验证的域名并续订证书。

通过电子邮件验证的域的续订

要重新验证最初通过电子邮件验证的域, ACM 定期尝试通过HTTPS连接到它并检查返回的TLS证书。对于以 www. 开头的域,ACM 还会向父域发送 HTTPS 请求。例如,如果您的域是 www.example.com, ACM 向发送定期请求 www.example.comexample.com。对于不以开头的域 www., ACM 还会发送HTTPS请求到 www.domain。 ACM 处理通配符域名(例如, *.example.com)与父域相同。例如,请参阅下表。

ACM 用于自动验证的示例域名

证书中的域名

ACM 用于自动验证的域名

example.com

example.com

www.example.com

www.example.com

www.example.com

example.com

*.example.com

example.com

www.example.com

subdomain.example.com

subdomain.example.com

www.subdomain.example.com

www.subdomain.example.com

www.subdomain.example.com

subdomain.example.com

*.subdomain.example.com

subdomain.example.com

www.subdomain.example.com

如果返回的TLS证书与正在更新的TLS证书匹配, ACM 会考虑验证的域名并续订证书。成功的自动续订不会导致电子邮件通知。

当自动证书续订失败时

如果 ACM 无法自动验证证书中的一个或多个域名,ACM 会通知域拥有者必须执行操作来手动验证域。域出于以下原因可能需要手动验证:

  • 对于DNS验证,DNS记录中缺少所需的CNAME令牌或无法访问。

  • 对于TLS验证, ACM 无法与域建立HTTPS连接,或者对HTTPS请求响应中返回的证书与 ACM 正在续订。

如果证书距过期还有 45 天,并且证书中的一个或多个域名需要手动验证,ACM 将通过以下方式通知域拥有者。

对于电子邮件验证的证书:

如果上次是通过电子邮件验证证书的,ACM 将针对每个需要手动验证的域名向域拥有者发送一封电子邮件。为确保能够收到此电子邮件,域拥有者必须为每个域正确配置电子邮件。有关更多信息,请参阅(可选) 为域配置电子邮件。此电子邮件包含一个用于执行验证的链接。此链接将在 72 小时后过期。如有必要,可以使用 AWS Certificate Manager 控制台、AWS CLI 或 API 请求 ACM 重新发送域验证电子邮件。有关更多信息,请参阅请求证书续订的域验证电子邮件

重要

电子邮件验证的证书在其最后一个手动验证日期的 825 天后自动续订。825 天之后,域拥有者或授权代表必须手动重新验证域的所有权,以便进行续订。为了避免出现此问题,我们建议您创建新的证书和使用 DNS 验证(如果您能够这么做),因为 DNS 验证的证书只要经过了正确配置,就能无限期地重新验证。

通过您的 AWS Personal Health Dashboard 中的通知

ACM 将向您的 AWS Personal Health Dashboard 发送通知,告知您证书中的一个或多个域名需要验证,然后才能续订证书。ACM 将在证书过期之前的 45 天、30 天、15 天、7 天、3 天和 1 天时发送这些通知。这些通知仅作提供信息之用。

注意

ACM 会将连续续订事件通知写入 PHD 时间表中的单个事件。每个通知都会覆盖上一个通知,直到续订成功为止。