排查托管证书续订的问题 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查托管证书续订的问题

ACM 会在您的 ACM 证书到期前尝试自动续订,以便您无需执行任何操作。如果对Managed renewal for ACM certificates有任何疑问,请参阅以下主题。

准备自动域验证

要让 ACM 自动续订您的证书,必须满足以下条件:

对于电子邮件验证的证书:

将具有 AWS 证书的 ACM 资源配置为接受来自 Internet 的 HTTPS 请求。确保对您的证书中的域名发出的 HTTPS 请求已路由至具有您的证书的资源。

对于 DNS 验证的证书:

确保您的 DNS 配置包含正确的 CNAME 记录。

处理托管证书续订失败

当证书还剩 60 天过期时,ACM 会自动每小时尝试续订。如果 ACM 在 15 天后无法续订证书,您将收到一封电子邮件,其中包含有关如何手动解决续订问题的进一步说明。此过程因最初验证证书的方式而异。

电子邮件验证的证书的托管证书续订

电子邮件验证的证书要求每 825 天进行一次域验证。为了进行续订,ACM 针对仍保留为 PENDING_VALIDATION 状态的每个域名发送一封电子邮件。域拥有者或其授权代表必须采取措施来验证未通过验证的每个域名。有关确定哪些域处于 状态并对这些域重复验证过程的说明,请参阅使用电子邮件PENDING_VALIDATION进行验证。

DNS 验证的证书的托管证书续订

ACM 不会尝试对 DNS 验证的证书进行 TLS 验证。如果 ACM 无法续订您通过 DNS 验证来验证的证书,则很可能是由于 DNS 配置中缺少 CNAME 记录或具有的 CNAME 记录不准确。如果发生这种情况,ACM 通知您无法自动续订证书。您必须将正确的 CNAME 记录插入到 DNS 数据库中。您可以通过在 ACM 控制台中展开证书及其域条目,找到域的 CNAME 记录。有关详细信息,请参考下面的图。您还可以使用 API 中的 DescribeCertificateACM 操作或 CLI 中的 describe-certificateACM 命令检索 CNAME 记录。有关更多信息,请参阅选项 1:DNS 验证


            从控制台中选择目标证书。

从控制台中选择目标证书。


            展开证书窗口以查找证书的 CNAME 信息。

展开证书窗口以查找证书的 CNAME 信息。

如果问题依旧存在,请联系支持中心

了解续订计时

Managed renewal for ACM certificates是一个异步过程。这意味着这些步骤不会立即连续发生。在验证 ACM 证书中的所有域名后,ACM 获取新证书之前可能会有延迟。ACM 获取续订的证书的时间与将证书部署到使用它的 AWS 资源的时间之间可能出现额外延迟。因此,对证书状态的更改可能需要数小时才能显示在控制台中。