如何对使用通配符和子域且经过电子邮件验证的证书使用 ACM 托管续订流程?

上次更新时间:2019 年 7 月 8 日

我使用电子邮件验证域所有权,并拥有使用通配符和子域的 AWS Certificate Manager (ACM) 证书。如何对使用通配符和子域的证书使用 ACM 托管续订?

简短描述

如果 ACM 颁发的通配符证书即将过期,需要续订,并且关联与 AWS Certificate Manager 集成的服务,则 ACM 会尝试自动续订证书。为说明与多个 AWS 资源关联的 ACM 颁发证书的续订流程,请考虑以下场景。

以下场景假定:

  • 您的域部署到两个 Elastic Load Balancing (ELB) 负载均衡器:负载均衡器 A 和负载均衡器 B。
  • 您已在两个负载均衡器之间配置了 Amazon Route 53 主动-被动故障转移
  • 您将负载均衡器 A 配置为主资源,将负载均衡器 B 配置为辅助资源,即在主资源变为不可用时作为备用。
  • 您将 ACM 证书(证书 1 和证书 2)分别关联到每个负载均衡器,且这些证书的有效期为 60 天。

注意:如果您使用 DNS 验证域所有权,则这些场景不适用。 

解决方法

场景 1

  • 将域 test.example.com 部署到两个负载均衡器:– 负载均衡器 A:test.example.com – 负载均衡器 B:test.example.com。
  • 证书 1 上的域名为 test.example.com,且该证书与负载均衡器 A 相关联。
  • 证书 2 上的域名为 test.example.com,且该证书与负载均衡器 B 相关联。

在 ACM 证书到期之前,ACM 会尝试验证每个证书中的域名。为验证域 test.example.com,ACM 会定期向 www.test.example.com 和 test.example.com 发送 HTTPS 请求。有关更多信息,请参阅了解自动域验证。如果 ACM 成功建立 HTTPS 连接,并且在响应中返回证书 1,则说明域 test.example.com 已经过验证。域 test.example.com 已经过验证,且证书已续订。由于负载均衡器 A 处于活动状态,因此返回证书 1 以响应 ACM 的 HTTPS 请求来验证域。证书 2 的自动验证失败。在证书 2 到期的第 45 天,ACM 尝试通过以下方式验证证书 2:

场景 2

  • 将域 www.example.com 部署到两个负载均衡器:– 负载均衡器 A:www.example.com – 负载均衡器 B:www.example.com。
  • 证书 1 上的域名为 www.example.com,且该证书与负载均衡器 A 相关联。
  • 证书 2 上的域名为 *.example.com,且该证书与负载均衡器 B 相关联。

虽然每个证书上的域名不同,但系统会定期向 www.example.com 和 example.com 发送 HTTPS 连接请求。如果任何 HTTPS 连接请求成功,则说明域已经过验证。ACM 续订与负载均衡器 A 关联的证书 1:www.example.com。证书 2 续订失败,必须手动续订证书 2。有关更多信息,请参阅 当自动证书续订失败时

场景 3

  • 将域 test.example.com 部署到两个负载均衡器:负载均衡器 A (test.example.com) 和负载均衡器 B (test.example.com)。
  • 证书 1 上的域名为 *.example.com,且该证书与负载均衡器 A 相关联。
  • 证书 2 上的域名为 *.example.com,且该证书与负载均衡器 B 相关联。

ACM 会定期向 example.com 和 www.example.com 发送 HTTPS 请求,这些域不同于负载均衡器(负载均衡器 A [test.example.com] 和负载均衡器 B [test.example.com])背后托管的域。自动域验证失败,因此这两个证书均未续订。必须手动验证这两个域才能续订证书。