电子邮件验证 - AWS 证书 Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

电子邮件验证

在 Amazon 证书颁发机构 (CA) 为您的网站颁发证书之前, AWS Certificate Manager (ACM) 必须验证您是否拥有或控制您在请求中指定的所有域。您可以使用电子邮件或 DNS 执行验证。本主题讨论电子邮件验证。有关 DNS 验证的信息,请参阅DNS 验证

请注意以下有关电子邮件验证的注意事项。

  • 您需要一个在您的域中注册的工作电子邮件地址才能使用电子邮件验证。设置电子邮件地址的过程不在本指南的讨论范围内。

  • 验证仅适用于 ACM 颁发的公开信任证书。ACM 不会验证导入的证书或由私有 CA 签名的证书的域所有权。ACM 无法验证 Amazon VPC 私有托管区或任何其他私有域中的资源。有关更多信息,请参阅 排查证书验证问题

  • 在创建采用电子邮件验证的证书后,您无法切换到使用 DNS 对其进行验证。

ACM 证书的有效期为 13 个月(395 天)。要续订,通过电子邮件验证的证书需要域拥有者执行操作。ACM 在过期前 45 天开始向域的 WHOIS 邮箱地址和五个常用管理员地址发送续订通知。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

如果在使用电子邮件验证时遇到问题,请参阅排查电子邮件验证的问题

ACM 将电子邮件发送到 WHOIS 数据库中列出的 3 个联系人地址,以及您为每个域指定的最多 5 个常用系统地址。也就是说,对于您请求中包含的每个域名和主题备用名称,将发送最多八封电子邮件。例如,如果您仅指定一个域名,您最多将收到八封电子邮件。要进行验证,您必须在 72 小时内对这八封电子邮件中的一封进行操作。如果您指定三个域名,您最多将收到 24 封电子邮件。要进行验证,您必须在 72 小时内对这些电子邮件中的至少三封电子邮件(指定的每个名称对应一封电子邮件)进行操作。

电子邮件将发送到 WHOIS 中的以下三个已注册联系人地址:

  • 域注册者

  • 技术联系人

  • 管理联系人

注意

我们强烈建议您配置和监控证书的五个常用系统地址。从 WHOIS 检索联系信息并不可靠。WHOIS 查询成功率很低(不到 5%),部分原因是为了遵循全球隐私保护法律的要求。

重要

从 2024 年 6 月起,ACM 将不支持通过 WHOIS 联系地址进行新的电子邮件验证。对于现有证书,从 2024 年 10 月起,ACM 将不会向域名的 WHOIS 联系地址发送续订通知。ACM 将继续向所请求域的五个通用系统地址发送验证电子邮件。如需了解更多详情,请参阅AWS Certificate Manager 将停止 WHOIS 查询电子邮件验证证书

如果您使用控制台请求证书,ACM 将执行 MX 查找以确定哪些服务器接受您的域的电子邮件,并且对于找到的第一个域,它还会将邮件发送到以下五个常用系统地址。如果您使用 RequestCertificateAPI 或请求证书 AWS CLI 命令,ACM 不会执行 MX 查找。它会将电子邮件发送到您在 DomainName 参数或在 ValidationDomain 可选参数中指定的域名称。有关更多信息,请参阅 MX 记录

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

有关 ACM 如何确定您的域的电子邮件地址的更多信息,请参阅 (可选)为域配置电子邮件

此过程的例外情况

如果您为以 www 或星号通配符 (*) 开头的域名请求 ACM 证书,则 ACM 将删除开头的 www 或星号,并将电子邮件发送到管理地址。这些地址是由在域名的其余部分预置管理员@、管理员@、hostmaster@、postmaster@ 和 webmaster@ 构成的。例如,如果您为 www.example.com 请求 ACM 证书,则电子邮件将发送到 admin@example.com 而不是 admin@www.example.com。同样,如果您为 *.test.example.com 请求 ACM 证书,则电子邮件将发送到 admin@test.example.com。其余的常见管理地址的组成方式类似。

注意

确保将电子邮件发送到顶点域 (如 example.com) 的管理地址,而不是发送到子域 (如 test.example.com) 的管理地址。为此,请在 RequestCertificateAPI 或请求证书 AWS CLI 命令中指定ValidationDomain选项。如果使用控制台请求证书,目前还无法使用此功能。

即使所有邮件都发送到一个电子邮件地址,您也必须响应每个域或子域的一封邮件,以便验证该域并生成证书。

证书过期和续订

ACM 证书的有效期为 13 个月(395 天)。要续订,通过电子邮件验证的证书需要域拥有者执行操作。ACM 在过期前 45 天开始向域的 WHOIS 邮箱地址和五个常用管理员地址发送续订通知。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

有关更多信息,请参阅上面的电子邮件验证

(可选)重新发送验证邮件

每封验证电子邮件都包含一个令牌,您可以使用它批准证书请求。但是,由于批准过程需要的验证电子邮件可能会被垃圾邮件筛选器阻止或在传输中丢失,因此令牌将在 72 小时后自动过期。如果您未收到原始电子邮件或令牌已到期,可以请求重新发送电子邮件。

有关电子邮件验证的持久性问题,请参阅故障排除中的排查电子邮件验证的问题部分。

注意

以下信息仅适用于 ACM 提供的证书,以及使用电子邮件验证的证书。私有 PKI 证书或您导入到 ACM 中的证书不需要验证电子邮件。有关 DNS 域验证的信息,请参阅DNS 验证

使用控制台重新发送验证电子邮件
  1. 登录 AWS 管理控制台并打开 ACM 控制台,网址为 https://console.aws.amazon.com/acm/home

  2. 在证书列表中,请选择要验证的证书的 Certificate ID(证书 ID)。此操作将打开详细信息页面。

    注意

    根据您对列表排序的方式,您要查找的证书可能不会立即可见。您可以点击右侧的黑色三角形来更改顺序。您还可以使用右上角的页码浏览多页证书。

  3. Domains(域)部分,选择 Resend validation email(重新发送验证电子邮件),选择每个需要验证的域,然后选择 Resend(重新发送)。此时应该会显示 Successfully resent validation emails(已成功重新发送验证电子邮件)横幅。

要使用 AWS CLI重新发送验证电子邮件

您可以使用resend-validation-email命令重新发送电子邮件。

$ aws acm resend-validation-email --certificate-arn arn:aws:acm:Region:444455556666:certificate/certificate_ID --domain www.example.com --validation-domain example.com
注意

resend-validation-email命令仅适用于您使用电子邮件验证的 ACM 证书。对于已导入到 ACM 的证书或使用 ACM 管理的私有证书,不需要验证。