排查电子邮件验证的问题 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

排查电子邮件验证的问题

如果在使用电子邮件验证证书域时遇到问题,请参阅以下指南。

未收到验证电子邮件

当您从 ACM 请求证书并选择电子邮件验证时,域验证电子邮件会发送到 WHOIS 中指定的三个联系人地址以及五个常用管理地址。有关更多信息,请参阅 电子邮件验证。如果您在接收验证电子邮件时遇到问题,请查看以下建议。

查找电子邮件的位置

验证电子邮件将发送到 WHOIS 中列出的联系人地址以及域的常用管理地址。电子邮件不会发送到 Amazon 账户所有者,除非该所有者也作为域联系人在 WHOIS 中列出。检查在 ACM 控制台中显示(或者从 CLI 或 API 中返回)的电子邮件地址列表,以确定您应查找验证电子邮件的位置。要查看此列表,请单击标有 Validation not complete 的框中域名旁的图标。

此电子邮件已标记为垃圾邮件

请查看您的垃圾邮件文件夹中是否有验证电子邮件。

GMail 会自动对您的电子邮件进行分类

如果您使用的是 GMail,则验证电子邮件可能已被自动分类到 UpdatesPromotions 选项卡中。

域注册者未显示联系人信息或已启用隐私保护

在某些情况下,WHOIS 中的域注册者、技术人员和管理联系人可能不会公开,因此 Amazon 无法与他们联系。您可以自行决定选择将您的注册者配置为在 WHOIS 中列出您的电子邮件地址,尽管并非所有注册者都支持此选项。您可能需要在域的注册表中直接进行更改。在其他情况下,域联系人信息可能使用的是私密地址 (例如,通过 WhoisGuard 或 PrivacyGuard 提供的地址)。

对于从 Route 53 购买的域,预设情况下已启用隐私保护,而且您的电子邮件地址已映射到 whoisprivacyservice.orgcontact.gandi.net 电子邮件地址。确保您的域注册者文件上的注册者电子邮件是最新的,以便发送到这些隐藏的电子邮件地址的电子邮件可转发到您控制的电子邮件地址。

注意

即使您选择公开您的联系人信息,您通过 Route 53 购买的一些域的隐私保护也将被启用。例如,Route 53 无法以编程方式禁用 .ca 顶级域的隐私保护。您必须联系 Amazon 支持中心并请求禁用隐私保护。

如果无法通过 WHOIS 获得您的域的电子邮件联系人信息,或者域所有者或授权代表未收到发送到联系人信息的电子邮件,建议将您的域或子域配置为接收发送到一个或多个常用管理地址 (通过在请求的域名前面加上 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@ 来构成) 的电子邮件。有关为您的域配置电子邮件的更多信息,请参阅您的电子邮件服务提供商的文档并遵循 (可选)为域配置电子邮件 处的说明。如果您使用的是 Amazon WorkMail,请参阅 Amazon WorkMail 管理员指南中的使用用户

在提供 Amazon 将验证电子邮件发送到的八个电子邮件地址中的至少一个地址并确认您可以收到该地址的电子邮件后,您便可以通过 ACM 请求证书。在提交证书请求后,确保预期的电子邮件地址显示在 Amazon Web Services Management Console 中的电子邮件地址列表中。在证书处于 Pending validation 状态时,您可以通过单击标有 Validation not complete 的框中域名旁的图标来展开此列表以进行查看。您还可以查看 ACM Request a Certificate(申请证书)向导的 Step 3: Validate(步骤 3:验证)中的列表。列出的电子邮件地址是将电子邮件发送到的地址。

MX 记录缺失或配置错误

MX 记录是域名系统 (DNS) 数据库中的资源记录,它为您的域指定一个或多个接受电子邮件的邮件服务器。如果 MX 记录缺失或配置错误,则无法将电子邮件发送到 电子邮件验证中指定的五个常用系统管理地址中的任何一个。请修复缺失或配置错误的 MX 记录,然后尝试重新发送电子邮件或请求证书。

注意

目前,建议至少等待一小时,然后再尝试重新发送电子邮件或请求您的证书。

注意

要绕过对 MX 记录的依赖,可以使用 RequestCertificate API 或 request-certificate Amazon CLI 命令中的 ValidationDomain 选项指定 ACM 要将验证电子邮件发送到的域名。如果您使用 API 或 Amazon CLI,Amazon 不会执行 MX 查找。

联系支持中心

如果在查看上述指导后,您仍无法收到域验证电子邮件,请访问 Amazon Web Services Support 中心并创建案例。如果您没有支持协议,请将消息发布到 ACM 开发论坛

已发送到子域的电子邮件

如果您使用控制台并为子域名称(如 sub.test.example.com)请求证书,则 ACM 会进行检查,查看 sub.test.example.com 是否存在 MX 记录。如果不存在,则检查父域 test.example.com,依此类推,直至基础域 example.com。如果找到了 MX 记录,则搜索将停止,并且验证电子邮件将发送到子域的常用管理地址。例如,如果找到了 test.example.com 的 MX 记录,则电子邮件将发送到 admin@test.example.com、administrator@test.example.com 以及电子邮件验证中指定的其他管理地址。如果在任何子域中均未找到 MX 记录,则电子邮件将发送到您最初为其请求证书的子域。有关如何设置电子邮件以及 ACM 如何处理 DNS 和 WHOIS 数据库的全面讨论,请参阅 (可选)为域配置电子邮件

您可以使用 RequestCertificate API 或 request-certificate Amazon CLI 命令中的 ValidationDomain 选项来指定 ACM 要将验证电子邮件发送到的域名,而不使用控制台。如果您使用 API 或 Amazon CLI,Amazon 不会执行 MX 查找。

隐藏的联系人信息

当您尝试创建新证书时,会发生一个常见问题。某些注册商允许您在 WHOIS 列表中隐藏联系人信息。其他注册商允许您将真实电子邮件地址替换为私密 (或代理) 地址。这将阻止您通过注册联系人地址接收验证电子邮件。

若要接收邮件,请确保您的联系人信息在 WHOIS 中是公开的,或者,如果您的 WHOIS 列表显示私密电子邮件地址,则确保发送到该私密地址的邮件将被转发到真实的电子邮件地址。WHOIS 设置完成后,只要您的证书请求尚未超时,您就可以选择重新发送验证电子邮件。ACM 将执行新的 WHOIS/MX 查找并将验证电子邮件发送到您现在的公开的电子邮件地址。

证书续订

如果您在请求新证书时将 WHOIS 信息公开,并在这之后将您的信息模糊化,那么在您尝试续订证书时,ACM 将无法检索您的注册联系人地址。ACM 会将验证电子邮件发送到这些联系人地址,以及由您的 MX 记录构成的五个常见管理地址。若要解决此问题,请再次公开您的 WHOIS 信息并重新发送验证电子邮件。ACM 将执行新的 WHOIS/MX 查找并将验证电子邮件发送到您现在的公开的联系人电子邮件地址。

WHOIS 限制

有时,即使您发送了多个验证电子邮件请求,ACM 也无法联系 WHOIS 服务器。此问题出在 Amazon 外部。也就是说,Amazon 不会控制 WHOIS 服务器,也无法阻止 WHOIS 服务器限制。如果您遇到此问题,请在 Amazon Web Services Support 中心创建一个案例以寻求解决方法。

用于电子邮件验证的持久初始时间戳

证书的第一个电子邮件验证请求的时间戳在后续验证续订请求中一直保留。这不是 ACM 操作中存在错误的证据。