排查托管证书续订的问题 - AWS 证书 Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查托管证书续订的问题

ACM 在到期前会尝试自动续订 ACM 证书,以便您无需执行任何操作。如果对ACM 证书的托管续订有任何疑问,请参阅以下主题。

准备进行自动域验证

要让 ACM 自动续订您的证书,必须满足以下条件:

  • 您的证书必须与与 ACM 集成的 AWS 服务相关联。有关 ACM 支持的资源的信息,请参阅 与 AWS Certificate Manager 集成的服务

  • 对于使用电子邮件验证的证书,ACM 必须能够通过证书中所列每个域的管理员电子邮件地址与您联系。将尝试的电子邮件地址列在电子邮件验证中。

  • 对于使用 DNS 验证的证书,请确保您的 DNS 配置包含正确的 CNAME 记录,如 DNS 验证 中所述。

处理托管证书续订失败

当证书即将到期时(DNS 为 60 天,电子邮件为 45 天,私有证书为 60 天),如果证书符合资格标准,ACM 会尝试续订证书。您可能需要执行相关操作才能成功续订。有关更多信息,请参阅ACM 证书的托管续订

针对电子邮件验证证书的托管证书续订

ACM 证书的有效期为 13 个月(395 天)。要续订,通过电子邮件验证的证书需要域拥有者执行操作。ACM 在过期前 45 天开始向域的 WHOIS 邮箱地址和五个常用管理员地址发送续订通知。通知中包含一个链接,域拥有者可以单击该链接以轻松续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

请参阅使用电子邮件验证,了解有关识别哪些域处于 PENDING_VALIDATION 状态并重复这些域的验证过程的说明。

针对 DNS 验证证书的托管证书续订

ACM 不会尝试对 DNS 验证的证书进行 TLS 验证。如果 ACM 无法续订您通过 DNS 验证来验证的证书,则很可能是由于 DNS 配置中缺少别名记录或别名记录不准确。如果发生这种情况,ACM 会通知您无法自动续订证书。

重要

您必须将正确的 CNAME 记录插入到 DNS 数据库中。请咨询您的域名注册商以了解如何执行此操作。

您可以通过在 ACM 控制台中展开证书及其域条目,找到域的 CNAME 记录。有关详细信息,请参考下面的图。您还可以使用 ACM API 中的DescribeCertificate操作或 ACM CLI 中的 desc ribe- certificate 命令来检索 CNAME 记录。有关更多信息,请参阅DNS 验证


            从控制台中选择目标证书。

从控制台中选择目标证书。


            展开证书窗口以查找证书的 CNAME 信息。

展开证书窗口以查找证书的 CNAME 信息。

如果问题依旧存在,请联系支持中心

了解续订计时

ACM 证书的托管续订是一个异步过程。这意味着这些步骤不会立即连续发生。在验证 ACM 证书中的所有域名后,在 ACM 获取新证书之前可能会有延迟。ACM 获取续订的证书的时间与将证书部署到使用它的 AWS 资源的时间之间可能出现额外延迟。因此,对证书状态的更改可能需要数小时才能显示在控制台中。