排查托管证书续订的问题 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

排查托管证书续订的问题

ACM 在到期前会尝试自动续订 ACM 证书,以便您无需执行任何操作。如果对ACM 证书的托管续订有任何疑问,请参阅以下主题。

准备进行自动域验证

要让 ACM 自动续订您的证书,必须满足以下条件:

对于电子邮件验证的证书:

将具有 ACM 证书的Amazon资源配置为接受来自 Internet 的 HTTPS 请求。确保对您的证书中的域名发出的 HTTPS 请求已路由至具有您的证书的资源。

对于 DNS 验证的证书:

确保您的 DNS 配置包含正确的 CNAME 记录。

处理托管证书续订失败

当证书还剩 60 天过期时,ACM 会自动每小时尝试续订。如果 ACM 在 15 天后无法续订证书,您将收到一封电子邮件,其中包含有关如何手动解决续订问题的进一步说明。此过程因最初验证证书的方式而异。

针对电子邮件验证证书的托管证书续订

ACM 证书的有效期为 13 个月(395 天)。要续订,通过电子邮件验证的证书需要域拥有者执行操作。ACM 在过期前 45 天开始向域的 WHOIS 邮箱地址和五个常见管理员地址发送续订通知。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

请参阅使用电子邮件验证,了解有关识别哪些域处于 PENDING_VALIDATION 状态并重复这些域的验证过程的说明。

针对 DNS 验证证书的托管证书续订

ACM 不会尝试对 DNS 验证的证书进行 TLS 验证。如果 ACM 无法续订您通过 DNS 验证来验证的证书,则很可能是由于 DNS 配置中缺少别名记录或别名记录不准确。如果发生这种情况,ACM 会通知您无法自动续订证书。

重要

您必须将正确的 CNAME 记录插入到 DNS 数据库中。请咨询您的域名注册商以了解如何执行此操作。

您可以通过在 ACM 控制台中展开证书及其域条目,找到域的 CNAME 记录。有关详细信息,请参考下面的图。您还可以使用 ACM API 中的 DescribeCertificate 操作,或是 ACM CLI 中的 describe-certificate 命令,来检索别名记录。有关更多信息,请参阅 DNS 验证


            从控制台中选择目标证书。

从控制台中选择目标证书。


            展开证书窗口以查找证书的 CNAME 信息。

展开证书窗口以查找证书的 CNAME 信息。

如果问题依旧存在,请联系支持中心

了解续订计时

ACM 证书的托管续订是一个异步过程。这意味着这些步骤不会立即连续发生。在验证 ACM 证书中的所有域名后,在 ACM 获取新证书之前可能会有延迟。ACM 获取续订的证书的时间与将证书部署到使用它的Amazon资源的时间之间可能出现额外延迟。因此,对证书状态的更改可能需要数小时才能显示在控制台中。