使用AWS re:Post即您表示您同意 AWS re:Post 使用条款
AWS re:Postre:Post

使用 ACM 颁发或续订证书时,为什么我没有收到验证电子邮件?

2 分钟阅读
0

为什么我没有收到用于颁发或续订 AWS Certificate Manager (ACM) 证书的验证电子邮件?

简短描述

只要域存在对应的 MX 记录,ACM 就会将验证电子邮件发送到五个通用系统地址。有关默认电子邮件地址的列表,请参阅 MX 记录

ACM 还会将域验证电子邮件发送到与域名注册人、技术联系人以及 WHOIS 列表中的管理联系人字段相关联的电子邮件地址。有关更多信息,请参阅通过电子邮件验证域所有权

某些域名注册商不会在 WHOIS(“身份”)数据中填写联系信息。如果出现以下情况,您的 ACM 证书颁发或续订可能会受到影响:

  • 您的域名注册商未在 WHOIS 数据中包含联系电子邮件地址。
  • 您可以在 WHOIS 中使用自定义电子邮件地址进行证书验证。

用于电子邮件验证的 WHOIS 查找会在顶级域上执行,并在域名注册人、技术联系人和管理联系人字段中搜索电子邮件地址。使用 WHOIS 查询验证您列出的电子邮件地址。有关其他信息,请参阅为域的联系信息启用或禁用隐私保护。如果您的域启用了隐私保护,则可能不会收到回复或收到类似于以下内容的回复:

Registrant Contact
Name: Data Protected Data Protected
Organization: Data Protected
Mailing Address: 123 Data Protected, Toronto ON M6K 3M1 CA
Phone: +1.0000000000
Ext:
Fax: +1.0000000000
Fax Ext:
Email:noreply@data-protected.net

注意:

  • ACM 不兼容 CAPTCHA。ACM 可能找不到使用 CAPTCHA 文本配置的 WHOIS 数据。
  • AWS 不会控制 WHOIS 数据,也无法阻止 WHOIS 服务器节流。有关更多信息,请参阅 WHOIS 节流。

解决方法

根据您的偏好以及维护或切换所需的工作,有两种选择可选。

  • 您无法将 ACM 证书验证在电子邮件和 DNS 之间切换。要切换验证方法,请申请新的 ACM 证书来替换之前的证书。
  • 如果您在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请确保您运行的是最新版本的 AWS CLI

选项 1 - 使用电子邮件

检查您的域名证书以验证电子邮件地址。

  1. 打开 ACM 控制台,然后选择列出证书
  2. 选择要续订的证书。
  3. Domains(域)中,请注意 Registered owners(注册所有者)字段。注册的所有者通常包括 admin@、adminator@、hostmaster@、postmaster@、webmaster@。

如果没有列出这五个系统电子邮件地址,请使用以下命令确认该域至少有一条有效的 MX 记录:

Linux 和 macOS

$dig mx example.com

Windows

$nslookup -q=mx example.com

MX 记录中指示的邮件服务器会收到类似于以下内容的验证电子邮件:

;; ANSWER SECTION:
example.com.             599     IN      MX      10 mail1.example.com.
example.com.             599     IN      MX      20 mail2.example.com.

如果符合以下条件,您还可以使用 Amazon Simple Email Service (Amazon SES) 和 Amazon Simple Notification Service (Amazon SNS) 接收一封 ACM 验证电子邮件:

  • 您没有 MX 记录
  • 您的域注册商不支持电子邮件转发。

请按照说明使用 AWS 管理控制台或 AWS CLI 重新发送验证电子邮件

有关详细信息,请参阅排查电子邮件验证问题

选项 2 - 使用 DNS

要切换到 DNS 验证,重新创建 ACM 证书,然后选择 DNS 以进行验证。与电子邮件验证相比,DNS 验证有多个优势,特别是在 Amazon Route 53 是域的 DNS 提供商的情况下。

  • DNS 要求您为每个仅用于请求 ACM 证书的域名创建一条 CNAME 记录。使用电子邮件验证时,每个域名最多需要发送八封电子邮件。
  • 如果使用的是 DNS 记录,您可以为您的完全限定域名 (FQDN) 请求额外的 ACM 证书。
  • ACM 会自动续订您使用 DNS 验证的证书。如果证书和 DNS 记录正在使用中,ACM 就会在每个证书过期前续订证书。
  • 如果您使用 Route 53 管理公共 DNS 记录,ACM 可以为您添加 CNAME 记录。
  • 与使用电子邮件验证过程相比,使用 DNS 验证过程的自动化更简单。
  • 您可以切换到 DNS 验证,无需额外费用。

对于使用之前的 ACM 证书且与 AWS Certificate Manager 集成的服务,必须更新才能使用新证书。这是因为新 ACM 证书生成一个 Amazon 资源名称 (ARN)。您无法使用新的 ACM 证书保留 ARN。只有续订的 ACM 证书才能保留相同的 ARN。

通过运行类似于以下的 AWS CLI 命令 describe-certificate,可以建立 ACM 证书的“区域”:

$aws acm describe-certificate --certificate-arn arn:aws:acm:region:12345678911:certificate/123456-1234-1234-1234-123456789 --output text |grep INUSEBY

有关更多信息,请参阅 DNS 验证

相关信息

证书验证问题排查

ACM 证书的托管续订

检查证书的续订状态

电子邮件验证域的续订

主题
安全、身份和合规性
标签
AWS Certificate Manager
语言
中文 (简体)

相关视频

AWS 官方
AWS 官方已更新 2 年前
没有评论

相关内容