使用电子邮件验证域所有权,并拥有使用通配符和子域的 AWS Certificate Manager (ACM) 证书。ACM 托管的续订如何处理使用通配符和子域的证书?

如果 ACM 颁发的通配符证书到期续订并与 AWS Certificate Manager 集成的服务相关联,则 ACM 会尝试自动续订该证书。为说明与多个 AWS 资源相关联的 ACM 颁发证书的续订流程,请考虑以下场景。这些场景假设:

  • 您的域部署到两个 Elastic Load Balancing (ELB) 负载均衡器:负载均衡器 A 和负载均衡器 B
  • 您已在两个负载均衡器之间配置了 Route53 主动-被动故障转移
  • 您将负载均衡器 A 配置为主要资源,并将负载均衡器 B 配置为辅助资源,即在主要资源变为不可用时随时待命。
  • 您将 ACM 证书(证书 1 和证书 2)关联到每个负载均衡器,这些证书的有效期为 60 天。

注意:如果您使用 DNS 验证域所有权,则这些场景不适用。

场景一

  • 域 test.example.com 部署到两个负载均衡器:- 负载均衡器 A:test.example.com - 负载均衡器 B:test.example.com
  • 证书 1 中的域名为 test.example.com,该证书与负载均衡器 A 相关联
  • 证书 2 中的域名为 test.example.com,该证书与负载均衡器 B 相关联

在 ACM 证书到期之前,ACM 会尝试验证每个证书中的域名。为验证域 test.example.com,ACM 会发送定期 HTTPS 请求到 www.test.example.com 和 test.example.com。有关更多信息,请参阅自动域验证工作原理。如果 ACM 与任一域成功建立 HTTPS 连接,并且在响应中返回证书 1,则域 test.example.com 经过验证。域 test.example.com 经过验证并续订证书。由于负载均衡器 A 处于活动状态,证书 1 始终返回以响应 ACM 的 HTTPS 请求来验证域,因此证书 2 的自动验证失败。在证书 2 到期的第 45 天,ACM 通过发送以下内容尝试验证证书 2:

场景二

  • 域 www.example.com 部署到两个负载均衡器:- 负载均衡器 A:www.example.com - 负载均衡器 B:www.example.com
  • 证书 1 中的域名为 www.example.com,该证书与负载均衡器 A 相关联。
  • 证书 2 中的域名为 *.example.com,该证书与负载均衡器 B 相关联。

尽管每个证书中的域名不同,但定期 HTTPS 连接请求会发送到 www.example.com 和 example.com。如果任何 HTTPS 连接请求成功,则该域经过验证。ACM 会续订与负载均衡器 A 相关联的证书 1:www.example.com。证书 2 续订失败,并且证书 2 必须手动续订。有关更多信息,请参阅如果自动验证失败

场景三

  • 域 test.example.com 部署到两个负载均衡器:负载均衡器 A:test.example.com 和负载均衡器 B:test.example.com。
  • 证书 1 中的域名为 *.example.com,该证书与负载均衡器 A 相关联。
  • 证书 2 中的域名为 *.example.com,该证书与负载均衡器 B 相关联。

ACM 会发送定期 HTTPS 请求到 example.com 和 www.example.com,这与在这些负载均衡器(负载均衡器 A:test.example.com 和负载均衡器 B:test.example.com)背后托管的域不同。自动域验证失败,两个证书均未续订。必须手动验证两个域才能续订证书。有关更多信息,请参阅如果自动验证失败


此页面对您有帮助吗? |

返回 AWS Support 知识中心

需要帮助? 请访问 AWS 支持中心

发布时间:2018 年 5 月 17 日