续订 ACM 公有证书 - Amazon Certification
续订使用 DNS 验证的域电子邮件验证
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

续订 ACM 公有证书

在颁发受管理的公开信任证书时, Amazon Certificate Manager 需要您证明自己是域名所有者。这可以通过 DNS 验证电子邮件验证的方式进行。当证书需要续订时,ACM 会使用您之前选择的相同方法来重新验证您的所有权。以下主题说明了续订过程在各种情况下的工作机制。

续订通过 DNS 验证的域

对于最初使用 DNS 验证颁发的 ACM 证书,托管续订是完全自动化的。

在过期前 60 天,ACM 会检查以下续订条件:

  • 该证书目前正由某项 Amazon 服务使用。

  • ACM 提供的所有必需 DNS CNAME 记录(每个唯一的主题备用名称一个)都存在并可以通过公共 DNS 访问。

如果满足这些条件,ACM 将认为域名已通过验证并续订证书。

如果在续订期间无法自动验证域名(例如,由于存在 CAA 记录),ACM 会发送 Amazon Health EventBridge 事件和 Amazon 事件。这些事件将在过期前 45 天、30 天、15 天、7 天、3 天和 1 天发送。有关更多信息,请参阅 亚马逊对 ACM 的 EventBridge 支持

续订使用电子邮件验证的域

ACM 证书的有效期为 13 个月(395 天)。续订证书需要域所有者执行操作。ACM 会在证书到期前 45 天开始向与该域关联的电子邮件地址发送续订通知。该通知会包含一个链接,域所有者可以单击该链接进行续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

有关验证电子邮件的更多信息,请参阅Amazon Certificate Manager 电子邮件验证

要了解如何以编程方式回复验证电子邮件,请参阅自动验证 Amazon Certificate Manager 电子邮件

重新发送验证电子邮件

在请求证书时为您的域配置了电子邮件验证后(请参阅Amazon Certificate Manager 电子邮件验证),则可以使用 Amazon Certificate Manager API 来请求 ACM 向您发送用于证书续订的域验证电子邮件。您应在以下情况下执行此操作:

  • 您最初请求 ACM 证书时使用的是电子邮件验证。

  • 您的证书的续订状态为等待验证。有关确定证书的续订状态的信息,请参阅检查证书的续订状态

  • 您未收到或无法找到 ACM 为证书续订发送的原始域验证电子邮件。

要将验证电子邮件发送到与您在证书请求中最初配置的域不同的域,可以使用 ACM API 中的ResendValidationEmail操作 Amazon CLI、或 Amazon SDKs。ACM 会将电子邮件发送到指定的验证域。您可以通过在支持的区域 Amazon CLI Amazon CloudShell 中使用来访问浏览器内的。

请求 ACM 重新发送域验证电子邮件(控制台)

  1. 在家中打开https://console.aws.amazon.com/acm/主 Amazon Certificate Manager机。

  2. 选择需要验证的证书的证书 ID

  3. 选择 Resend validation email(重新发送验证电子邮件)。

请求 ACM 重新发送域验证电子邮件 (ACM API)

在 ACM API 中使用该ResendValidationEmail操作。在这种情况下,传递证书的 ARN、需要手动验证的域以及您要在其中接收域验证电子邮件的域。以下示例说明如何使用 Amazon CLI执行该操作。此示例包含换行符以便于阅读。

$ aws acm resend-validation-email \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID \
	--domain subdomain.example.com \
	--validation-domain example.com