排查电子邮件验证的问题 - AWS Certification
未收到验证电子邮件已发送到子域的电子邮件隐藏的联系人信息证书续订WHOIS 限制用于电子邮件验证的持久初始时间戳.IO 域我无法切换到DNS验证

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查电子邮件验证的问题

如果在使用电子邮件验证证书域时遇到问题,请参阅以下指南。

未收到验证电子邮件

当您从中申请证书ACM并选择电子邮件验证时,域验证电子邮件将发送到中指定的三个联系地址WHOIS和五个常用管理地址。有关更多信息,请参阅 电子邮件验证。如果您在接收验证电子邮件时遇到问题,请查看以下建议。

查找电子邮件的位置

验证电子邮件将发送到中列出的联系人地址WHOIS以及该域的常用管理地址。除非 AWS 账户所有者也被列为域名联系人,否则不会向账户所有者发送电子邮件WHOIS。查看ACM控制台中显示的(或从或返回的API)电子邮件地址列表,以确定您应在哪里查找验证电子邮件。CLI要查看此列表,请单击标有 Validation not complete 的框中域名旁的图标。

此电子邮件已标记为垃圾邮件

请查看您的垃圾邮件文件夹中是否有验证电子邮件。

GMail自动对您的电子邮件进行排序

如果您正在使用GMail,则验证电子邮件可能已自动分类到 “更新” 或 “促销” 选项卡中。

域注册者未显示联系人信息或已启用隐私保护

在某些情况下,中的域名注册人、技术和管理联系人WHOIS可能不公开, AWS 因此无法联系到这些联系人。尽管并非所有注册商都支持此选项,但您可以自行决定将您的注册商配置为在中WHOIS列出您的电子邮件地址。您可能需要在域的注册表中直接进行更改。在其他情况下,域名联系人信息可能使用隐私地址,例如通过 WhoisGuard 或提供的隐私地址 PrivacyGuard。

对于从 Route 53 购买的域,预设情况下已启用隐私保护,而且您的电子邮件地址已映射到 whoisprivacyservice.orgcontact.gandi.netidentity-protect.org 电子邮件地址。确保您的域注册者文件上的注册者电子邮件是最新的,以便发送到这些隐藏的电子邮件地址的电子邮件可转发到您控制的电子邮件地址。

注意

即使您选择公开您的联系人信息,您通过 Route 53 购买的一些域的隐私保护也将被启用。例如,Route 53 无法以编程方式禁用 .ca 顶级域的隐私保护。您必须联系 AWS 支持中心并请求禁用隐私保护。

如果无法通过获取您域名的电子邮件联系信息WHOIS,或者发送到联系人信息的电子邮件没有到达域名所有者或授权代表手中,我们建议您将您的域名或子域名配置为接收发送到一个或多个常用管理地址的电子邮件,这些地址是在请求的域名前面加上 admin@、adminstarator@、hostmaster@、webmaster@ 和 postmaster@。有关为您的域配置电子邮件的更多信息,请参阅您的电子邮件服务提供商的文档并遵循 (可选)为域配置电子邮件 处的说明。如果您使用的是亚马逊 WorkMail,请参阅《亚马逊 WorkMail 管理员指南》中的 “与用户合作”。

在提供向其 AWS 发送验证电子邮件的八个电子邮件地址中的至少一个并确认您可以接收该地址的电子邮件后,您就可以通过申请证书了ACM。在提交证书请求后,确保预期的电子邮件地址显示在 AWS Management Console中的电子邮件地址列表中。在证书处于 Pending validation 状态时,您可以通过单击标有 Validation not complete 的框中域名旁的图标来展开此列表以进行查看。您也可以在 “ACM申请证书” 向导的 “步骤 3:验证” 中查看列表。列出的电子邮件地址是将电子邮件发送到的地址。

MX 记录缺失或配置错误

MX 记录是 Domain Name System (DNS) 数据库中的资源记录,它指定一台或多台接受域名电子邮件的邮件服务器。如果 MX 记录缺失或配置错误,则无法将电子邮件发送到 电子邮件验证中指定的五个常用系统管理地址中的任何一个。请修复缺失或配置错误的 MX 记录,然后尝试重新发送电子邮件或请求证书。

注意

目前,建议至少等待一小时,然后再尝试重新发送电子邮件或请求您的证书。

注意

要绕过要求 MX 记录的要求,您可以使用RequestCertificateAPI或 request- certification AWS CLI 命令中的ValidationDomain选项来指定要ACM向其发送验证电子邮件的域名。如果您使用API或 AWS CLI,则 AWS 不执行 MX 查找。

联系支持中心

如果在查看上述指导后,您仍无法收到域验证电子邮件,请访问 AWS Support 中心并创建案例。如果您没有支持协议,请在ACM讨论论坛上发布消息。

已发送到子域的电子邮件

如果您使用控制台请求子域名(例如)的证书sub.test.example.com,则ACM会检查是否有 MX 记录。sub.test.example.com如果不存在,则检查父域 test.example.com,依此类推,直至基础域 example.com。如果找到了 MX 记录,则搜索将停止,并且验证电子邮件将发送到子域的常用管理地址。例如,如果找到了 test.example.com 的 MX 记录,则电子邮件将发送到 admin@test.example.com、administrator@test.example.com 以及电子邮件验证中指定的其他管理地址。如果在任何子域中均未找到 MX 记录,则电子邮件将发送到您最初为其请求证书的子域。有关如何设置电子邮件以及如何使用DNS和WHOIS数据库的详尽讨论,请参阅(可选)为域配置电子邮件。ACM

您可以不使用控制台,而是使用RequestCertificateAPI或 request- certificat AWS CLI e 命令中的ValidationDomain选项来指定向其ACM发送验证电子邮件的域名。如果您使用API或 AWS CLI,则 AWS 不执行 MX 查找。

隐藏的联系人信息

当您尝试创建新证书时,会发生一个常见问题。有些注册商允许您在WHOIS列表中隐藏您的联系信息。其他注册商允许您将真实电子邮件地址替换为私密 (或代理) 地址。这将阻止您通过注册联系人地址接收验证电子邮件。

要接收邮件,请确保您的联系信息是公开的WHOIS,或者如果您的WHOIS房源显示了隐私电子邮件地址,请确保将发送到该隐私地址的电子邮件转发到您的真实电子邮件地址。WHOIS设置完成后,只要您的证书申请未超时,您就可以选择重新发送验证电子邮件。ACM执行新的 WHOIS /MX 查询,并将验证电子邮件发送到您现在公开的联系地址。

证书续订

如果您在申请新证书时公开了自己的WHOIS信息,后来又混淆了您的信息,则在尝试续订证书时将ACM无法检索注册的联系地址。ACM向这些联系地址以及使用您的 MX 记录形成的五个常用管理地址发送验证电子邮件。要解决此问题,请再次公开您的WHOIS信息并重新发送验证电子邮件。ACM执行新的 WHOIS /MX 查询,并将验证电子邮件发送到您现在公开的联系地址。

WHOIS 限制

ACM有时,即使您发送了多个验证电子邮件请求,也无法联系WHOIS服务器。这个问题是外部的 AWS。也就是说, AWS 不控制WHOIS服务器,也无法阻止WHOIS服务器限制。如果您遇到此问题,请在 AWS Support 中心创建一个案例以寻求解决方法。

用于电子邮件验证的持久初始时间戳

证书的第一个电子邮件验证请求的时间戳在后续验证续订请求中一直保留。这不是ACM操作错误的证据。

排查 .IO 顶级域的问题

.IO 顶级域已分配给英属印度洋领地。目前,域名注册局不显示您从WHOIS数据库中获得的公开信息。无论您是启用还是禁用域的隐私保护,都是如此。如果禁用了隐私保护,注册商可能会在自己的WHOIS输出中显示这些信息,但是这种做法因注册商而异。ACM如果注册商无法提供验证电子邮件到以下三个注册的联系地址,则无法向这些地址发送验证电子邮件WHOIS。

  • 域注册者

  • 技术联系人

  • 管理联系人

ACM但是,会向以下五个常用系统地址发送验证电子邮件 your_domain 是您最初申请证书时输入的域名,.io也是顶级域名。

  • 管理员@your_domain.io

  • hostmaster@your_domain.io

  • postmaster@your_domain.io

  • 网站管理员@your_domain.io

  • 管理员@your_domain.io

要接收 .IO 域的验证邮件,请确保启用了上述五个电子邮件账户之一。否则,您将不会收到验证电子邮件,也不会获得ACM证书。

注意

我们建议您使用DNS验证而不是电子邮件验证。有关更多信息,请参阅 DNS验证

我无法切换到DNS验证

创建带有电子邮件验证功能的证书后,您无法切换到使用DNS验证证书。要使用DNS验证,请删除该证书,然后创建一个使用DNS验证的新证书。