Automatisation de la validation par courriel - AWS Certificate Manager
Modèles d'email de validationFlux de travail de validation

Automatisation de la validation par courriel

Les certificats ACM qui ont été validés par e'mail nécessitent normalement une intervention manuelle de la part du propriétaire du domaine. Les organisations qui traitent d'un grand nombre de certificats validés par courriel peuvent préférer créer un analyseur capable d'automatiser les réponses requises. Pour les clients qui utilisent la validation par e'mail, les informations de cette section décrivent les modèles utilisés pour les messages électroniques de validation de domaine et le flux de travail nécessaire afin de mener à bien le processus de validation.

Modèles d'email de validation

Les messages d'email de validation se présentent sous l'un des deux formats suivants, selon qu'un nouveau certificat est demandé ou qu'un certificat existant est en cours de renouvellement. Le contenu des chaînes en surbrillance doit être remplacé par des valeurs spécifiques au domaine en cours de validation.

Validation d'un nouveau certificat

Texte du modèle de courriel :

Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain.

Verify that the following domain, AWS account ID, and certificate identifier correspond 
to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals 
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context) 
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief 
explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services

Validation d'un certificat en vue de son renouvellement

Texte du modèle de courriel :

Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain. 
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined 
validity periods and email validated certificates, like this one, require you 
to re-validate for the certificate to renew.

Verify that the following domain, AWS account ID, and certificate identifier 
correspond to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here - 
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in 
error, forward it along with a brief explanation of your concern to 
validation-questions@amazon.com.

Sincerely,
Amazon Web Services

--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.

This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.

(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy

Lorsque vous recevez un nouveau message de validation de AWS, nous vous recommandons de l'utiliser comme modèle le plus à jour et faisant autorité pour votre analyseur. Les clients disposant d'analyseurs de messages conçus avant novembre 2020 doivent tenir compte du fait que les modifications suivantes ont pu être apportées au modèle :

  • La ligne d'objet du message électronique indique maintenant « Certificate request for domain name » au lieu de « "Certificate approval for domain name ».

  • Le AWS account ID est maintenant présenté sans tirets ni traits d'union. 

  • Le Certificate Identifier présente maintenant l'ARN complet du certificat au lieu d'un formulaire raccourci, par exemple, arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369 plutôt que 3b4d78e1-0882-4f51-954a-298ee44ff369.

  • L'URL d'approbation du certificat contient maintenant acm-certificates.amazon.com au lieu de certificates.amazon.com.

  • Le formulaire d'approbation qui s'ouvre lorsque l'on clique sur l'URL d'approbation du certificat contient désormais le bouton d'approbation. Le nom du bouton d'approbation div est maintenant approve-button au lieu de approval_button.

  • Le même format de courriel est utilisé pour les messages de validation des certificats nouvellement demandés et des certificats de renouvellement.

Flux de travail de validation

Cette section fournit des informations sur le flux de travail de renouvellement des certificats validés par courriel.

  • Lorsque la console ACM traite une demande de certificat multidomaine, elle envoie des messages électroniques de validation au premier domaine qu'elle trouve qui inclut un enregistrement MX. Avant qu'ACM puisse émettre le certificat, le propriétaire des domaines doit valider un message électronique pour chaque domaine. Pour plus d'informations, consultez Utilisation d'un courriel pour valider la propriété du domaine.

  • La validation par courriel des demandes de certificats multidomaines à l'aide de l'API ACM ou de l'interface CLI entraîne l'envoi par défaut d'un message électronique au domaine apex et à tous les sous-domaines. Avant qu'ACM puisse émettre le certificat, le propriétaire des domaines doit valider un message électronique pour chacun de ces domaines.

    Note

    Avant novembre 2020, les clients pouvaient se contenter de ne valider que le domaine apex puisqu'ACM émettait un certificat qui couvrait également tous les sous-domaines. Les clients disposant d'analyseurs de messages conçus avant cette date doivent tenir compte des modifications apportées au flux de travail de validation par courriel.

  • Avec l'API ACM ou l'interface CLI, vous pouvez forcer tous les messages électroniques de validation pour une demande de certificat multidomaine à envoyer au domaine apex. Dans l'API, utilisez le DomainValidationOptions paramètre de RequestCertificate l'action afin de spécifier une valeur pour ValidationDomain, qui est membre du DomainValidationOption type. Dans l'interface CLI, utilisez le paramètre --domain-validation-options de la commande request-certificate afin de spécifier une valeur pour ValidationDomain.