(可选) 为域配置电子邮件 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

(可选) 为域配置电子邮件

注意

仅当您使用电子邮件验证来声明您拥有或可以控制证书请求中指定的 FQDN(完全限定域名)时,才需要执行以下步骤。ACM 在颁发证书之前要求您验证所有权或控制权。您可以使用电子邮件验证或 DNS 验证。有关电子邮件验证的更多信息,请参阅使用电子邮件验证领域所有权

如果您可以编辑 DNS 配置,建议使用 DNS 域验证而不是电子邮件验证。如果使用 DNS 验证,则无需为域名配置电子邮件。有关 DNS 验证的更多信息,请参阅使用DNS验证域所有权

使用您的注册商网站将您的联系人地址与域名关联。注册商会将联系人电子邮件地址添加到 WHOIS 数据库中,并将一个或多个邮件服务器添加到 DNS 服务器的邮件交换器 (MX) 记录中。如果您选择使用电子邮件验证,ACM 会将电子邮件发送到联系人地址以及由 MX 记录构成的五个常用管理地址。ACM 会在您每次创建新证书、续订证书或请求新的验证邮件时最多发送八封验证电子邮件。验证电子邮件包含用于确认域所有者或指定代表批准 ACM 证书的说明。有关更多信息,请参阅使用电子邮件验证领域所有权。如果您对验证电子邮件有疑问,请参阅排查电子邮件验证的问题

WHOIS 数据库

WHOIS 数据库包含您的域的联系人信息。为了验证您的身份,ACM 会发送一封电子邮件到 WHOIS 中的以下三个地址。您必须确保您的联系人信息是公开的或发送到模糊地址的电子邮件将被转发到您真实的电子邮件地址。

  • 域注册者

  • 技术联系人

  • 管理联系人

MX 记录

当您注册域时,您的注册商会将您的邮件交换器 (MX) 记录发送到域名系统 (DNS) 服务器。MX 记录指示哪些服务器接受您的域的邮件。该记录包含完全限定域名 (FQDN)。您可以为顶点域或子域请求证书。

例如,如果您使用控制台为 abc.xyz.example.com 请求证书,ACM 将首先尝试查找该子域的 MX 记录。如果无法找到该记录,ACM 将针对 xyz.example.com 执行 MX 查找。如果无法找到该记录,ACM 将针对 example.com 执行 MX 查找。如果无法找到该记录,或者没有 MX 记录,ACM 将选择为其请求证书的原始域(本例中为 abc.xyz.example.com)。然后,ACM 向以下五个常用系统管理地址域或子域发送电子邮件:

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

如果您使用的是 RequestCertificate API 操作或 request-certificate AWS CLI 命令,则 AWS 不会执行 MX 查找。RequestCertificate 允许您指定域名和验证域的名称。如果您指定可选的 ValidationDomain 参数,AWS 会将上述五封电子邮件发送到该域而不是您的域。

无论您使用的是控制台、API 还是 AWS CLI,ACM 始终将验证电子邮件发送到前面列出的五个常用地址。但是,只有在您使用控制台请求证书时,AWS 才会执行 MX 查找。

如果未收到验证电子邮件,请参阅 未收到验证电子邮件 了解有关可能的原因及解决方法的信息。