在通过 ACM 托管续订流程验证我的域名以后,为什么我的证书续订仍处于待验证状态?

上次更新日期:2022 年 6 月 24 日

我使用 AWS Certificate Manager(ACM)托管续订流程验证了我的域名,但它仍处于“待验证”状态。 如何解决此问题?

简短描述

通过电子邮件验证证书通过 DNS 验证证书的续订流程存在差异。

ACM 会在您的 ACM 证书到期前 60 天尝试通过 DNS 验证证书流程自动续订该证书。要确认域已验证,请在 ACM 控制台中展开证书的详细信息。或者,在 AWS 命令行界面(AWS CLI)中使用 describe-certificate 命令。如果 ACM 无法自动验证证书中的一个或多个域名,则续订状态为“待验证”。

出现这种情况的原因可能是:

  • ACM 证书中列出的域未全部经过验证。
  • 自动验证失败。
  • 托管续订流程是异步流程。
  • 原始证书已过期。

注意:对于通过电子邮件验证的证书续订,ACM 会在到期前 45 天开始发送续订通知,要求域拥有者采取措施。

解决方法

使用以下说明对 ACM 续订状态“待验证”进行故障排查。

注意:如果在运行 AWS CLI 命令时遇到错误,请确保您使用的是最新版本的 AWS CLI

ACM 证书中列出的域未全部经过验证

如果您手动验证域,则必须验证 ACM 证书中包含的每个域。

如果您使用电子邮件验证,则系统会为每个域发送一组验证电子邮件。您必须完成这些电子邮件中包含的步骤才能验证域。有关更多信息,请参阅电子邮件验证

自动验证失败

如果 ACM 无法自动验证域,请参阅处理托管证书续订失败

托管续订流程是异步流程

ACM 最多可能需要几个小时才能获取新证书。在这段时间内,ACM 控制台中的状态始终为待验证

如果更新延迟,则 ACM 控制台中的域验证状态为成功,证书续订状态为待验证

原始证书已过期

如果通过电子邮件验证的原始 ACM 证书已过期,则证书状态会由已颁发更改为待验证。您必须在 72 小时内验证域,否则续订状态会由待验证更改为失败。如果续订失败,您必须为域请求其他公有证书