我使用 AWS Certificate Manager (ACM) 托管续订流程验证了我的域名,但它仍处于待验证状态

上次更新时间:2019 年 5 月 7 日

我使用 AWS Certificate Manager (ACM) 托管续订流程验证了我的域名,但它仍处于“待验证”状态。 我该如何解决此问题?

简短描述

ACM 会在您的 ACM 证书到期前 60 天尝试自动续订该证书。要确认某个域是否已经过验证,请在 AWS Certificate Manager 控制台中展开该证书的详细信息,或者在 AWS 命令行界面 (AWS CLI) 中使用 describe-certificate 命令。如果 ACM 无法自动验证证书中的一个或多个域名,则续订状态为“待验证”。

出现这种情况的原因可能是:

  • ACM 证书中列出的域未全部经过验证。
  • 自动验证失败。
  • 托管续订流程是异步流程。
  • 原始证书已过期。

解决方法

ACM 证书中列出的域未全部经过验证

如果您手动验证域,则必须验证 ACM 证书中包含的每个域。

如果您使用电子邮件验证,则系统会针对每个域发送一组验证电子邮件,您必须完成这些电子邮件中包含的步骤才能验证这些域。请按照使用电子邮件验证域所有权的说明执行操作。

自动验证失败

如果 ACM 无法自动验证域,您必须手动验证域

如果您最初使用 DNS 验证来验证您的域,AWS 会向与您的账户关联的电子邮件地址发送电子邮件通知,通知您 ACM 无法续订您的证书。这可能是因为您的 DNS 配置中缺少别名记录。有关更多信息,请参阅使用 DNS 验证域所有权

托管续订流程是异步流程

ACM 最多可能需要几个小时才能获取新证书。在这段时间内,ACM 控制台中的状态始终为“待验证”。

如果更新延迟,则 AWS Certificate Manager 控制台中的域验证状态为“成功”,证书续订状态为“待验证”。

原始证书已过期

如果通过电子邮件验证的原始 ACM 证书已过期,则证书状态会由“已颁发”更改为“待验证”。 您必须在 72 小时内验证域,否则续订状态会由“待验证”更改为“失败”。 如果续订失败,您必须为域请求其他证书