本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
排查托管证书续订的问题
ACM尝试在证书到期之前自动续订ACM证书,因此您无需采取任何操作。如果对ACM证书的托管续订有任何疑问,请参阅以下主题。
准备进行自动域验证
ACM在自动续订证书之前,必须满足以下条件:
-
您的证书必须与与集成的 AWS 服务相关联ACM。有关ACM支持的资源的信息,请参阅与之集成的服务 AWS Certificate Manager。
-
对于通过电子邮件验证的证书,ACM必须能够通过证书中列出的每个域的管理员电子邮件地址与您联系。将尝试的电子邮件地址列在电子邮件验证中。
-
对于DNS经验证的证书,请确保您的DNS配置包含正确的CNAME记录,如中所述。DNS验证
处理托管证书续订失败
当证书接近到期时(60天DNS,私人证书为45天EMAIL,私有证书为60天),如果证书符合资格标准,则ACM尝试续订证书。您可能需要执行相关操作才能成功续订。有关更多信息,请参阅 ACM证书的托管续订。
针对电子邮件验证证书的托管证书续订
ACM证书的有效期为 13 个月(395 天)。续订证书需要域名所有者采取行动。ACM在域名到期前 45 天开始向与域名关联的电子邮件地址发送续订通知。通知中包含一个链接,域名所有者可以点击该链接进行续订。所有列出的域名都经过验证后,ACM将使用相同的域名颁发续订证书ARN。
请参阅使用电子邮件验证,了解有关识别哪些域处于 PENDING_VALIDATION 状态并重复这些域的验证过程的说明。
DNS已验证证书的托管证书续订
ACM不尝试TLS验证DNS已验证的证书。如果ACM无法续订您通过DNS验证验证的证书,则很可能是由于您的DNS配置中缺少记录或CNAME记录不准确。如果发生这种情况,则ACM会通知您证书无法自动续订。
重要
必须将正确的CNAME记录插入DNS数据库。请咨询您的域名注册商以了解如何执行此操作。
您可以通过在ACM控制台中扩展证书及其域名条目来查找您的域名CNAME记录。有关详细信息,请参考下面的图。您也可以使用中的DescribeCertificate操作ACMAPI或中的 desc ribe- certifice 命令来检索CNAME记录。ACM CLI有关更多信息,请参阅 DNS验证。
从控制台中选择目标证书。
展开证书窗口以查找证书CNAME信息。
如果问题依旧存在,请联系支持中心
了解续订计时
ACM证书的托管续订是一个异步过程。这意味着这些步骤不会立即连续发生。ACM证书中的所有域名都经过验证后,可能需要一段时间才能ACM获得新证书。从ACM获得续订的证书到将该证书部署到使用该证书的 AWS 资源之间,可能会出现额外的延迟。因此,对证书状态的更改可能需要数小时才能显示在控制台中。
