排查电子邮件验证的问题 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

排查电子邮件验证的问题

如果在使用电子邮件验证证书时遇到问题,请参阅以下指南。

未收到验证电子邮件

当您从 ACM 请求证书并选择电子邮件验证时,域验证电子邮件会发送到 WHOIS 中指定的三个联系人地址以及五个常用管理地址。有关更多信息,请参阅 使用电子邮件验证领域所有权。) 如果您在接收验证电子邮件时遇到问题,请查看以下建议。

查找电子邮件的位置

验证电子邮件将发送到 WHOIS 中列出的联系人地址以及域的常用管理地址。电子邮件不会发送到 AWS 账户所有者,除非该所有者也作为域联系人在 WHOIS 中列出。检查在 ACM 控制台中显示(或者从 CLI 或 API 中返回)的电子邮件地址列表,以确定您应查找验证电子邮件的位置。要查看此列表,请单击标有 Validation not complete 的框中域名旁的图标。

此电子邮件已标记为垃圾邮件

请查看您的垃圾邮件文件夹中是否有验证电子邮件。

GMail 会自动对您的电子邮件进行分类

如果您使用的是 GMail,则验证电子邮件可能已被自动分类到 UpdatesPromotions 选项卡中。

域注册者未显示联系人信息或已启用隐私保护

在某些情况下,WHOIS 中的域注册者、技术人员和管理联系人可能不会公开,因此 AWS 无法与他们联系。您可以自行决定选择将您的注册者配置为在 WHOIS 中列出您的电子邮件地址,尽管并非所有注册者都支持此选项。您可能需要在域的注册表中直接进行更改。在其他情况下,域联系人信息可能使用的是私密地址 (例如,通过 WhoisGuard 或 PrivacyGuard 提供的地址)。

对于从 Route 53 购买的域,已默认启用隐私保护,而且您的电子邮件地址已映射到 whoisprivacyservice.orgcontact.gandi.net 电子邮件地址。确保您的域注册者文件上的注册者电子邮件是最新的,以便发送到这些隐藏的电子邮件地址的电子邮件可转发到您控制的电子邮件地址。

注意

即使您选择公开您的联系人信息,您通过 Route 53 购买的一些域的隐私保护也将被启用。例如,Route 53 无法以编程方式禁用 .ca 顶级域的隐私保护。您必须联系 AWS 支持中心并请求禁用隐私保护。

如果无法通过 WHOIS 获得您的域的电子邮件联系人信息,或者域所有者或授权代表未收到发送到联系人信息的电子邮件,建议将您的域或子域配置为接收发送到一个或多个常用管理地址 (通过在请求的域名前面加上 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@ 来构成) 的电子邮件。有关为您的域配置电子邮件的更多信息,请参阅您的电子邮件服务提供商的文档并遵循 (可选) 为域配置电子邮件 处的说明。如果您使用的是 Amazon WorkMail,请参阅《Amazon WorkMail 管理员指南》中的处理用户

在提供 AWS 将验证电子邮件发送到的八个电子邮件地址中的至少一个地址并确认您可以收到该地址的电子邮件后,您便可以通过 ACM 请求证书。在提交证书请求后,确保预期的电子邮件地址显示在 AWS 管理控制台 中的电子邮件地址列表中。在证书处于 Pending validation 状态时,您可以通过单击标有 Validation not complete 的框中域名旁的图标来展开此列表以进行查看。您还可以在 步骤3: 验证 的 ACM 申请证书 向导。列出的电子邮件地址是将电子邮件发送到的地址。

MX 记录缺失或配置错误

MX 记录是域名系统 (DNS) 数据库中的资源记录,它为您的域指定一个或多个接受电子邮件的邮件服务器。如果 MX 记录缺失或配置错误,则无法将电子邮件发送到 使用电子邮件验证领域所有权中指定的五个常用系统管理地址中的任何一个。请修复缺失或配置错误的 MX 记录,然后尝试重新发送电子邮件或请求证书。

注意

目前,建议至少等待一小时,然后再尝试重新发送电子邮件或请求您的证书。

注意

若要不采用 MX 记录,则可以使用 RequestCertificate API 或 request-certificate AWS CLI 命令中的 ValidationDomain 选项指定 ACM 要将验证电子邮件发送到的域名。如果您使用 API 或 AWS CLI,AWS 不会执行 MX 查找。

联系支持中心

如果在查看上述指导后,您仍无法收到域验证电子邮件,请访问 AWS Support 中心并创建案例。如果您没有支持协议,请将消息发布到 ACM 开发论坛

已发送到子域的电子邮件

如果您正在使用控制台并请求子域名称的证书,例如 sub.test.example.com,然后 ACM 检查是否有 sub.test.example.com。如果没有,则选择母域 test.example.com 以此类推,直到基本域 example.com。如果找到了MX记录,搜索将停止,验证电子邮件将发送到子域的通用管理地址。例如,如果找到了 test.example.com 的 MX 记录,则电子邮件将发送到 admin@test.example.com、administrator@test.example.com 以及使用电子邮件验证领域所有权中指定的其他管理地址。如果在任何子域中均未找到 MX 记录,则电子邮件将发送到您最初为其请求证书的子域。有关如何设置电子邮件以及 ACM 如何处理 DNS 和 WHOIS 数据库的全面讨论,请参阅(可选) 为域配置电子邮件

您可以使用 RequestCertificate API 或 request-certificate AWS CLI 命令中的 ValidationDomain 选项来指定 ACM 要将验证电子邮件发送到的域名,而不使用控制台。如果您使用 API 或 AWS CLI,AWS 不会执行 MX 查找。

隐藏的联系人信息

当您尝试创建新证书时,会发生一个常见问题。某些注册商允许您在 WHOIS 列表中隐藏联系人信息。其他注册商允许您将真实电子邮件地址替换为私密 (或代理) 地址。这将阻止您通过注册联系人地址接收验证电子邮件。

若要接收邮件,请确保您的联系人信息在 WHOIS 中是公开的,或者,如果您的 WHOIS 列表显示私密电子邮件地址,则确保发送到该私密地址的邮件将被转发到真实的电子邮件地址。WHOIS 设置完成后,只要您的证书请求尚未超时,您就可以选择重新发送验证电子邮件。ACM 将执行新的 WHOIS/MX 查找并将验证电子邮件发送到您现在的公开联系人地址。

证书续订

如果您在请求新证书时将 WHOIS 信息公开,并在这之后将您的信息模糊化,那么在您尝试续订证书时,ACM 将无法检索您的注册联系人地址。ACM 会将验证电子邮件发送到这些联系人地址并使用由您的 MX 记录构成的五个常用管理地址。要解决此问题,请再次公开您的 WHOIS 信息并重新发送验证电子邮件。ACM 将执行新的 WHOIS/MX 查找并将验证电子邮件发送到您现在的公开联系人地址。

WHOIS 限制

有时,即使您发送了多个验证电子邮件请求,ACM 也无法联系 WHOIS 服务器。此问题出在 AWS 外部。也就是说,AWS 不会控制 WHOIS 服务器,也无法阻止 WHOIS 服务器限制。如果您遇到此问题,请在 AWS Support 中心创建一个案例以寻求解决方法。