排查电子邮件验证的问题 - AWS 证书 Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查电子邮件验证的问题

如果在使用电子邮件验证证书域时遇到问题,请参阅以下指南。

未收到验证电子邮件

当您从 ACM 请求证书并选择电子邮件验证时,域验证电子邮件会发送到 WHOIS 中指定的三个联系人地址以及五个常用管理地址。有关更多信息,请参阅 电子邮件验证。如果您在接收验证电子邮件时遇到问题,请查看以下建议。

查找电子邮件的位置

验证电子邮件将发送到 WHOIS 中列出的联系人地址以及域的常用管理地址。除非 AWS 账户所有者也在 WHOIS 中被列为域名联系人,否则不会向账户所有者发送电子邮件。检查在 ACM 控制台中显示(或者从 CLI 或 API 中返回)的电子邮件地址列表,以确定您应查找验证电子邮件的位置。要查看此列表,请单击标有 Validation not complete 的框中域名旁的图标。

此电子邮件已标记为垃圾邮件

请查看您的垃圾邮件文件夹中是否有验证电子邮件。

GMail 会自动对您的电子邮件进行分类

如果您使用的是 GMail,则验证电子邮件可能已被自动分类到 UpdatesPromotions 选项卡中。

域注册者未显示联系人信息或已启用隐私保护

在某些情况下,WHOIS 中的域名注册人、技术和管理联系人可能不公开, AWS 因此无法联系到这些联系人。您可以自行决定选择将您的注册者配置为在 WHOIS 中列出您的电子邮件地址,尽管并非所有注册者都支持此选项。您可能需要在域的注册表中直接进行更改。在其他情况下,域名联系人信息可能使用隐私地址,例如通过 WhoisGuard 或提供的隐私地址 PrivacyGuard。

对于从 Route 53 购买的域,预设情况下已启用隐私保护,而且您的电子邮件地址已映射到 whoisprivacyservice.orgcontact.gandi.netidentity-protect.org 电子邮件地址。确保您的域注册者文件上的注册者电子邮件是最新的,以便发送到这些隐藏的电子邮件地址的电子邮件可转发到您控制的电子邮件地址。

注意

即使您选择公开您的联系人信息,您通过 Route 53 购买的一些域的隐私保护也将被启用。例如,Route 53 无法以编程方式禁用 .ca 顶级域的隐私保护。您必须联系 AWS 支持中心并请求禁用隐私保护。

如果无法通过 WHOIS 获得您的域的电子邮件联系人信息,或者域所有者或授权代表未收到发送到联系人信息的电子邮件,建议将您的域或子域配置为接收发送到一个或多个常用管理地址 (通过在请求的域名前面加上 admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@ 来构成) 的电子邮件。有关为您的域配置电子邮件的更多信息,请参阅您的电子邮件服务提供商的文档并遵循 (可选)为域配置电子邮件 处的说明。如果您使用的是亚马逊 WorkMail,请参阅《亚马逊 WorkMail 管理员指南》中的 “与用户合作”。

在提供 AWS 将验证电子邮件发送到的八个电子邮件地址中的至少一个地址并确认您可以收到该地址的电子邮件后,您便可以通过 ACM 请求证书。在提交证书请求后,确保预期的电子邮件地址显示在 AWS Management Console中的电子邮件地址列表中。在证书处于 Pending validation 状态时,您可以通过单击标有 Validation not complete 的框中域名旁的图标来展开此列表以进行查看。您还可以查看 ACM Request a Certificate(申请证书)向导的 Step 3: Validate(步骤 3:验证)中的列表。列出的电子邮件地址是将电子邮件发送到的地址。

MX 记录缺失或配置错误

MX 记录是域名系统 (DNS) 数据库中的资源记录,它为您的域指定一个或多个接受电子邮件的邮件服务器。如果 MX 记录缺失或配置错误,则无法将电子邮件发送到 电子邮件验证中指定的五个常用系统管理地址中的任何一个。请修复缺失或配置错误的 MX 记录,然后尝试重新发送电子邮件或请求证书。

注意

目前,建议至少等待一小时,然后再尝试重新发送电子邮件或请求您的证书。

注意

要绕过要求 MX 记录的要求,您可以使用 RequestCertificateAPI 中的ValidationDomain选项或 request-certification AWS CLI 命令来指定 ACM 向其发送验证电子邮件的域名。如果您使用 API 或 AWS CLI,则 AWS 不执行 MX 查找。

联系支持中心

如果在查看上述指导后,您仍无法收到域验证电子邮件,请访问 AWS Support 中心并创建案例。如果您没有支持协议,请将消息发布到 ACM 开发论坛

已发送到子域的电子邮件

如果您使用控制台并为子域名称(如 sub.test.example.com)请求证书,则 ACM 会进行检查,查看 sub.test.example.com 是否存在 MX 记录。如果不存在,则检查父域 test.example.com,依此类推,直至基础域 example.com。如果找到了 MX 记录,则搜索将停止,并且验证电子邮件将发送到子域的常用管理地址。例如,如果找到了 test.example.com 的 MX 记录,则电子邮件将发送到 admin@test.example.com、administrator@test.example.com 以及电子邮件验证中指定的其他管理地址。如果在任何子域中均未找到 MX 记录,则电子邮件将发送到您最初为其请求证书的子域。有关如何设置电子邮件以及 ACM 如何处理 DNS 和 WHOIS 数据库的全面讨论,请参阅 (可选)为域配置电子邮件

您可以不使用控制台,而是使用 RequestCertificateAPI 中的ValidationDomain选项或 request-certificat AWS CLI e 命令来指定 ACM 向其发送验证电子邮件的域名。如果您使用 API 或 AWS CLI,则 AWS 不执行 MX 查找。

隐藏的联系人信息

当您尝试创建新证书时,会发生一个常见问题。某些注册商允许您在 WHOIS 列表中隐藏联系人信息。其他注册商允许您将真实电子邮件地址替换为私密 (或代理) 地址。这将阻止您通过注册联系人地址接收验证电子邮件。

若要接收邮件,请确保您的联系人信息在 WHOIS 中是公开的,或者,如果您的 WHOIS 列表显示私密电子邮件地址,则确保发送到该私密地址的邮件将被转发到真实的电子邮件地址。WHOIS 设置完成后,只要您的证书请求尚未超时,您就可以选择重新发送验证电子邮件。ACM 将执行新的 WHOIS/MX 查找并将验证电子邮件发送到您现在的公开的电子邮件地址。

证书续订

如果您在请求新证书时将 WHOIS 信息公开,并在这之后将您的信息模糊化,那么在您尝试续订证书时,ACM 将无法检索您的注册联系人地址。ACM 会将验证电子邮件发送到这些联系人地址,以及由您的 MX 记录构成的五个常见管理地址。若要解决此问题,请再次公开您的 WHOIS 信息并重新发送验证电子邮件。ACM 将执行新的 WHOIS/MX 查找并将验证电子邮件发送到您现在的公开的联系人电子邮件地址。

WHOIS 限制

有时,即使您发送了多个验证电子邮件请求,ACM 也无法联系 WHOIS 服务器。这个问题是外部的 AWS。也就是说, AWS 不会控制 WHOIS 服务器,也无法阻止 WHOIS 服务器限制。如果您遇到此问题,请在 AWS Support 中心创建一个案例以寻求解决方法。

用于电子邮件验证的持久初始时间戳

证书的第一个电子邮件验证请求的时间戳在后续验证续订请求中一直保留。这不是 ACM 操作中存在错误的证据。

排查 .IO 顶级域的问题

.IO 顶级域已分配给英属印度洋领地。目前,域注册表不会显示 WHOIS 数据库中您的公有信息。无论您是启用还是禁用域的隐私保护,都是如此。如果禁用隐私保护,注册者可能会在自己的 WHOIS 输出中显示此信息,但这种做法因不同的注册者而异。如果 WHOIS 中的注册者不提供,则 ACM 无法向以下三个注册联系人地址发送验证电子邮件。

  • 域注册者

  • 技术联系人

  • 管理联系人

但是,ACM 确实将验证电子邮件发送到以下五个常见系统地址,其中 your_domain 是您最初请求证书时输入的域名,而 .io 是顶级域。

  • administrator@your_domain.io

  • hostmaster@your_domain.io

  • postmaster@your_domain.io

  • webmaster@your_domain.io

  • admin@your_domain.io

要接收 .IO 域的验证邮件,请确保启用了上述五个电子邮件账户之一。如果没有启用,您不会收到验证电子邮件,并且不会向您颁发 ACM 证书。

注意

建议使用 DNS 验证而不是电子邮件验证。有关更多信息,请参阅 DNS 验证

我无法切换到 DNS 验证

在创建采用电子邮件验证的证书后,您无法切换到使用 DNS 对其进行验证。