電子郵件驗證 - AWS Certificate Manager
憑證過期日期和續約重新傳送驗證電子郵件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

電子郵件驗證

Amazon 憑證授權單位 (CA) 才能為您的網站發行憑證, AWS Certificate Manager (ACM) 必須先確認您擁有或控制您在請求中指定的所有網域。您可以使用電子郵件或 DNS 執行驗證。此主題討論電子郵件驗證。如需 DNS 驗證的詳細資訊,請參閱DNS 驗證

請遵循以下有關電子郵件驗證的注意事項。

  • 您需要在您的網域中註冊一個有效的電子郵件地址,才能使用電子郵件驗證。設定電子郵件地址的程序不在本指南的說明範圍內。

  • 驗證僅適用於 ACM 發行的公開信任憑證。ACM 不會為匯入的憑證或由私有 CA 簽署的憑證驗證網域所有權。ACM 無法驗證 Amazon VPC 私有託管區域或任何其他私有網域中的資源。如需詳細資訊,請參閱 針對憑證驗證進行疑難排解

  • 使用電子郵件驗證建立憑證之後,您無法切換為使用 DNS 進行驗證。

ACM 憑證的有效期限為 13 個月 (395 天)。若要續約,需要網域擁有者對經電子郵件驗證的憑證執行動作。ACM 會在過期前 45 天開始使用網域的 WHOIS 信箱地址傳送續約通知到五個常用管理員地址。通知中包含網域擁有者可點選的連結,方便進行續約。驗證所有列出的網域後,ACM 會發行具有相同 ARN 的續約憑證。

如果您在使用電子郵件驗證時遇到問題,請參閱針對電子郵件驗證問題進行疑難排解

ACM 會將電子郵件訊息傳送至您選擇的超級網域。任何最小網站位址的子網域都是有效的,並且會用作電子郵件地址的網域做為「@」之後的尾碼 (例如,如果您將 example.com 指定為 subdomain.example.com 的驗證網域,您可以收到電子郵件至 admin@example.com 的電子郵件信箱)。

電子郵件訊息會傳送到 WHOIS 中以下三個註冊的聯絡地址:

  • 網域註冊者

  • 技術聯絡人

  • 管理聯絡人

注意

我們強烈建議您設定並監控憑證的五個一般系統位址。從 WHOIS 檢索聯繫信息並不可靠。WHOIS 查找成功率很低 (低於 5%),部分原因是因為遵守全球隱私權法律。

重要

自 2024 年 6 月起,ACM 不再支援透過 WHOIS 聯絡地址進行新的電子郵件驗證。對於現有憑證,自 2024 年 10 月起,ACM 不會傳送續約通知到網域的 WHOIS 聯絡地址。ACM 會繼續傳送驗證電子郵件至要求網域的五個常用系統位址。有關更多詳細信息,請參閱AWS Certificate Manager 將停止通過電子郵件驗證的 WHOIS 查找證書

當您要求憑證時,ACM 會將電子郵件傳送至您在DomainName參數或選ValidationDomain用參數中指定的網域名稱。如需詳細資訊,請參閱

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

如需有關 ACM 如何判斷您網域的電子郵件地址的詳細資訊,請參閱「(選用) 為您的網域設定電子郵件」。

此程序的例外情況

如果您為開頭是 www 或萬用字元星號 (*) 的網域名稱請求 ACM 憑證,ACM 就會移除開頭的 www 或星號,然後將電子郵件傳送到管理地址。這些地址是由預先掛起的管理員 @、管理員 @、主持人 @、郵政管理員 @ 和網站管理員 @ 到域名的剩餘部分組成。例如,如果您為 www.example.com 請求 ACM 憑證,則電子郵件會傳送到 admin@example.com,而非 admin@www.example.com。同樣地,如果您為 *.test.example.com 請求 ACM 憑證,則電子郵件會傳送到 admin@test.example.com。其餘的常用管理地址也是以類似方式形成。

注意

確保電子郵件傳送到 apex 網域 (例如 example.com) 的管理地址,而非子網域 (例如 test.example.com) 的管理地址。為此,請在 RequestCertificateAPI 或請求證書 AWS CLI 命令中指定ValidationDomain選項。使用主控台請求憑證時,目前不支援此功能。

即使所有郵件都傳送到單一電子郵件地址,您也必須針對每個網域或子網域回應一封郵件,才能驗證並產生憑證。

憑證過期日期和續約

ACM 憑證的有效期限為 13 個月 (395 天)。若要續約,需要網域擁有者對經電子郵件驗證的憑證執行動作。ACM 會在過期前 45 天開始使用網域的 WHOIS 信箱地址傳送續約通知到五個常用管理員地址。通知中包含網域擁有者可點選的連結,方便進行續約。驗證所有列出的網域後,ACM 會發行具有相同 ARN 的續約憑證。

請參閱上方的 電子郵件驗證 以取得更多資訊。

(選用) 重新傳送驗證郵件

每封驗證電子郵件皆包含符記,可用於核准憑證要求。不過,因為核准流程所需的驗證電子郵件可能會遭垃圾郵件篩選器封鎖,或在傳輸中遺失,因此符記會在 72 小時後自動過期。如果您沒有收到原始電子郵件或符記已過期,您可以要求重新傳送電子郵件。

若電子郵件驗證持續發生問題,請參閱故障診斷中的針對電子郵件驗證問題進行疑難排解一節。

注意

上述資訊僅適用於 ACM 提供的憑證,以及使用電子郵件驗證的憑證。私有 PKI 憑證或您匯入 ACM 的憑證不需要驗證電子郵件。如需 DNS 網域驗證的資訊,請參閱DNS 驗證

使用主控台重新傳送驗證電子郵件

  1. 登入 AWS 管理主控台並開啟 ACM 主控台,網址為 https://console.aws.amazon.com/acm/home

  2. 在憑證清單中,選擇您要驗證的憑證之 Certificate ID(憑證 ID)。此動作會開啟詳細資訊頁面。

    注意

    視您排序清單的方式而定,您要尋找的憑證可能無法立即顯示。您可以點選右邊的黑色三角形來變更順序。您也可以使用右上角的頁碼在多張憑證頁面之間瀏覽。

  3. Domains(網域)部分中,選擇 Resend validation email(重新傳送驗證電子郵件),選取每個需要驗證的網域,然後選擇 Resend(重新傳送)。此 Successfully resent validation emails(成功重新傳送驗證電子郵件)橫幅應該會出現。

使用 AWS CLI重新傳送驗證電子郵件

您可以使用resend-validation-email命令重新傳送電子郵件。

$ aws acm resend-validation-email --certificate-arn arn:aws:acm:Region:444455556666:certificate/certificate_ID --domain www.example.com --validation-domain example.com
注意

此命resend-validation-email令僅適用於您正在使用電子郵件驗證的 ACM 憑證。已匯入 ACM 的憑證或使用 ACM 管理的私有憑證不需要驗證。