排查托管证书续订的问题 - AWS Certificate Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

排查托管证书续订的问题

ACM 会在您的 ACM 证书到期前尝试自动续订,以便您无需执行任何操作。如果对适用于 ACM 的由 Amazon 颁发的证书的托管续订有任何疑问,请参阅以下主题。

准备进行自动域验证

要让 ACM 自动续订您的证书,必须满足以下条件:

  • 您的证书必须和与 ACM 集成的某项 AWS 服务关联。有关 ACM 支持的资源的信息,请参阅 与 AWS Certificate Manager 集成的服务

  • ACM 必须能够验证证书中列出的每个域名。

对于电子邮件验证的证书:

将具有 ACM 证书的 AWS 资源配置为接受来自 Internet 的 HTTPS 请求。确保对您的证书中的域名发出的 HTTPS 请求已路由至具有您的证书的资源。

对于 DNS 验证的证书:

确保您的 DNS 配置包含正确的 CNAME 记录。

处理托管证书续订失败

当证书还剩 60 天过期时,ACM 会自动每小时尝试续订。如果 ACM 在 15 天后无法续订证书,您将收到一封电子邮件,其中包含有关如何手动解决续订问题的进一步说明。此过程因最初验证证书的方式而异。

针对电子邮件验证证书的托管证书续订

电子邮件验证的证书要求每 825 天进行一次域验证。为了进行续订,ACM 针对仍保留为 PENDING_VALIDATION 状态的每个域名发送一封电子邮件。域拥有者或其授权代表必须采取措施来验证未通过验证的每个域名。有关确定哪些域处于 PENDING_VALIDATION 状态并对这些域重复验证过程的说明,请参阅使用电子邮件验证

针对 DNS 验证证书的托管证书续订

ACM 不会尝试对 DNS 验证的证书进行 TLS 验证。如果 ACM 无法续订您通过 DNS 验证来验证的证书,则很可能是由于 DNS 配置中缺少 CNAME 记录或具有的 CNAME 记录不准确。如果发生这种情况,ACM 通知您无法自动续订证书。您必须将正确的 CNAME 记录插入到 DNS 数据库中。您可以通过在 ACM 控制台中展开证书及其域条目,找到域的 CNAME 记录。有关详细信息,请参考下面的图。您还可以通过使用 ACM API 中的 DescribeCertificate 操作或 ACM CLI 中的 describe-certificate 命令检索 CNAME 记录。有关更多信息,请参阅使用 DNS 验证域所有权


            从控制台中选择目标证书。

从控制台中选择目标证书。


            展开证书窗口以查找证书的 CNAME 信息。

展开证书窗口以查找证书的 CNAME 信息。

如果问题依旧存在,请联系支持中心

了解续订计时

适用于 ACM 的由 Amazon 颁发的证书的托管续订是一个异步过程。这意味着这些步骤不会立即连续发生。在验证 ACM 证书中的所有域名后,ACM 获取新证书之前可能会有延迟。ACM 获取续订的证书的时间与将证书部署到使用它的 AWS 资源的时间之间可能出现额外延迟。因此,对证书状态的更改可能需要数小时才能显示在控制台中。