选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

排查托管式证书续订的问题

聚焦模式
排查托管式证书续订的问题 - AWS 证书管理器

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ACM 在到期前会尝试自动续订 ACM 证书,以便您无需执行任何操作。如果对AWS Certificate Manager 中的托管式证书续订有任何疑问,请参阅以下主题。

准备进行自动域验证

要让 ACM 自动续订您的证书,必须满足以下条件:

  • 您的证书必须和与 ACM 集成的某项AWS服务关联。有关 ACM 支持的资源的信息,请参阅 与 ACM 集成的服务

  • 对于使用电子邮件验证的证书,ACM 必须能够通过证书中所列每个域的管理员电子邮件地址与您联系。将尝试的电子邮件地址列在AWS Certificate Manager 电子邮件验证中。

  • 对于使用 DNS 验证的证书,请确保您的 DNS 配置包含正确的 CNAME 记录,如 AWS Certificate Manager DNS 验证 中所述。

处理托管证书续订失败

当证书即将到期时(DNS 为 60 天,电子邮件为 45 天,私有证书为 60 天),如果证书符合资格标准,ACM 会尝试续订证书。您可能需要执行相关操作才能成功续订。有关更多信息,请参阅 AWS Certificate Manager 中的托管式证书续订

针对电子邮件验证证书的托管证书续订

ACM 证书的有效期为 13 个月(395 天)。续订证书需要域所有者执行操作。ACM 会在证书到期前 45 天开始向与该域关联的电子邮件地址发送续订通知。该通知会包含一个链接,域所有者可以单击该链接进行续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

请参阅使用电子邮件验证,了解有关识别哪些域处于 PENDING_VALIDATION 状态并重复这些域的验证过程的说明。

针对 DNS 验证证书的托管证书续订

ACM 不会尝试对 DNS 验证的证书进行 TLS 验证。如果 ACM 无法续订您通过 DNS 验证来验证的证书,则很可能是由于 DNS 配置中缺少别名记录或别名记录不准确。如果发生这种情况,ACM 会通知您无法自动续订证书。

重要

您必须将正确的 CNAME 记录插入到 DNS 数据库中。请咨询您的域名注册商以了解如何执行此操作。

您可以通过在 ACM 控制台中展开证书及其域条目,找到域的 CNAME 记录。有关详细信息,请参考下面的图。您还可以使用 ACM API 中的 DescribeCertificate 操作,或是 ACM CLI 中的 describe-certificate 命令,来检索别名记录。有关更多信息,请参阅 AWS Certificate Manager DNS 验证

从控制台中选择目标证书。

从控制台中选择目标证书。

展开证书窗口以查找证书的 CNAME 信息。

展开证书窗口以查找证书的 CNAME 信息。

如果问题依旧存在,请联系支持中心

了解续订计时

AWS Certificate Manager 中的托管式证书续订是一个异步过程。这意味着这些步骤不会立即连续发生。在验证 ACM 证书中的所有域名后,在 ACM 获取新证书之前可能会有延迟。ACM 获取续订的证书的时间与将证书部署到使用它的AWS资源的时间之间可能出现额外延迟。因此,对证书状态的更改可能需要数小时才能显示在控制台中。

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。