域验证的工作方式 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

域验证的工作方式

续订证书之前,ACM 会尝试自动验证证书中的每个域名。如果 ACM 无法自动验证域名,它会通知域拥有者需要执行操作来手动验证域并完成证书续订。如果证书正在使用中(与集成到 ACM 中的 AWS 服务关联),并且证书中的所有域名都可以通过验证,则 ACM 会续订证书。

了解自动域验证

为了验证域,ACM 会向域发送自动的定期 HTTPS 请求。对于以 www. 开头的域,ACM 还会向父域发送 HTTPS 请求。例如,如果您的域是 www.example.com,则 ACM 会将周期性请求发送到 www.example.comexample.com。对于不是以 www. 开头的域,ACM 还会向 www.domain 发送 HTTPS 请求。ACM 处理通配符域名(如 *.example.com)的方式与处理父域的方式相同。例如,请参阅下表。

注意

如果任何 HTTPS 连接尝试成功,ACM 会尝试自动续订证书。即使最初通过电子邮件验证了证书,自动续订也不会生产电子邮件通知。

ACM 用于自动验证的示例域名

证书中的域名

ACM 用于自动验证的域名

example.com

example.com

www.example.com

www.example.com

www.example.com

example.com

*.example.com

example.com

www.example.com

subdomain.example.com

subdomain.example.com

www.subdomain.example.com

www.subdomain.example.com

www.subdomain.example.com

subdomain.example.com

*.subdomain.example.com

subdomain.example.com

www.subdomain.example.com

如果 ACM 成功建立了 HTTPS 连接,ACM 会检查返回的证书以确保证书与 ACM 要续订的证书匹配。如果证书匹配,ACM 会考虑已验证的域名。

当自动证书续订失败时

如果 ACM 无法自动验证证书中的一个或多个域名,ACM 会通知域拥有者必须执行操作来手动验证域。域出于以下原因可能需要手动验证:

  • ACM 无法与域建立 HTTPS 连接。

  • 响应 HTTPS 请求时返回的证书与 ACM 要续订的证书不匹配。

如果证书距过期还有 45 天,并且证书中的一个或多个域名需要手动验证,ACM 将通过以下方式通知域拥有者。

对于电子邮件验证的证书:

如果上次是通过电子邮件验证证书的,ACM 将针对每个需要手动验证的域名向域拥有者发送一封电子邮件。为确保能够收到此电子邮件,域拥有者必须为每个域正确配置电子邮件。有关更多信息,请参阅(可选) 为域配置电子邮件。此电子邮件包含一个用于执行验证的链接。此链接将在 72 小时后过期。如有必要,可以使用 AWS Certificate Manager 控制台、AWS CLI 或 API 请求 ACM 重新发送域验证电子邮件。有关更多信息,请参阅请求证书续订的域验证电子邮件

重要

电子邮件验证的证书在其最后一个手动验证日期的 825 天后自动续订。825 天之后,域拥有者或授权代表必须手动重新验证域的所有权,以便进行续订。为了避免出现此问题,我们建议您创建新的证书和使用 DNS 验证(如果您能够这么做),因为 DNS 验证的证书只要经过了正确配置,就能无限期地重新验证。

通过您的 AWS Personal Health Dashboard 中的通知

ACM 将向您的 AWS Personal Health Dashboard 发送通知,告知您证书中的一个或多个域名需要验证,然后才能续订证书。ACM 将在证书过期之前的 45 天、30 天、15 天、7 天、3 天和 1 天时发送这些通知。这些通知仅作提供信息之用。