使用 ACM 颁发或续订证书时,为什么我没有收到验证电子邮件?

上次更新时间:2019 年 8 月 22 日

为什么电子邮件验证不适用于 Amazon Certificate Manager (ACM) 证书?  

简短描述

只要域存在对应的 MX 记录,ACM 就会将验证电子邮件发送到五个通用系统地址。有关默认电子邮件地址的列表,请参阅 MX 记录

ACM 还会将域验证电子邮件发送到与域名注册人、技术联系人以及 WHOIS 列表中的管理联系人字段相关联的电子邮件地址。有关更多信息,请参阅使用电子邮件验证域所有权

某些域名注册商不会在 WHOIS(“身份”)数据中填写联系信息。如果出现以下情况,您的 ACM 证书颁发或续订可能会受到影响:

  • 您的域名注册商未在 WHOIS 数据中包含联系电子邮件地址。
  • 您可以在 WHOIS 中使用自定义电子邮件地址进行证书验证。

用于电子邮件验证的 WHOIS 查找会在顶级域上执行,并在域名注册人、技术联系人和管理联系人字段中搜索电子邮件地址。使用 WHOIS 查询验证您列出的电子邮件地址。有关更多信息,请参阅为域的联系人信息启用或禁用隐私保护

您没有收到回复或收到类似以下内容的回复:

Registrant Contact
Name: Data Protected Data Protected
Organization: Data Protected
Mailing Address: 123 Data Protected, Toronto ON M6K 3M1 CA
Phone: +1.0000000000
Ext:
Fax: +1.0000000000
Fax Ext:
Email:noreply@data-protected.net

注意:ACM 不兼容 CAPTCHA。ACM 可能找不到使用 CAPTCHA 文本配置的 WHOIS 数据。

重要提示:AWS 不控制 WHOIS 数据,也无法防止 WHOIS 服务器限制。有关更多信息,请参阅 WHOIS 限制

解决方法

根据您的偏好以及维护或切换所需的工作,有两种选择。

重要提示:您无法将 ACM 证书验证方法从电子邮件转换为 DNS 或从 DNS 转换为电子邮件。如果切换验证方法,请颁发新的 ACM 证书来替换旧证书。

选项 1 – 使用电子邮件

您可以继续使用电子邮件执行验证。最佳做法是验证五个默认电子邮件地址中至少有一个对您的域有效并受到监控。选择验证电子邮件中的链接以完成验证。

系统会按照域 MX 记录中所述将电子邮件发送到邮件服务器。如果您没有收到该域的电子邮件,请使用以下命令确认该域至少有一个有效的 MX 记录:

Linux 和 macOS

$dig mx example.com

Windows

$nslookup -q=mx example.com

MX 记录中指示的邮件服务器将发送验证电子邮件。

;; ANSWER SECTION:
example.com.             599     IN      MX      10 mail1.example.com.
example.com.             599     IN      MX      20 mail2.example.com.

如果符合以下条件,您可以使用 Amazon Simple Email Service (Amazon SES) 和 Amazon Simple Notification Service (Amazon SNS) 接收一封 ACM 验证电子邮件:

  • 您没有 MX 记录。
  • 您的域名注册商不支持电子邮件转发。

选项 2 – 使用 DNS

要切换到 DNS 验证,重新创建 ACM 证书,然后选择 DNS 以进行验证。与电子邮件验证相比,DNS 验证有多个优势,特别是在 Amazon Route 53 是域的 DNS 提供商的情况下。

  • DNS 要求您为每个仅用于请求 ACM 证书的域名创建一条 CNAME 记录。使用电子邮件验证时,每个域名最多需要发送八封电子邮件。
  • 如果使用的是 DNS 记录,您可以为完全限定域名 (FQDN) 请求额外的 ACM 证书。
  • ACM 会自动续订您使用 DNS 验证过的证书。如果同时使用证书和 DNS 记录,ACM 会在每个证书到期前续订证书。
  • 如果您使用 Route 53 管理公共 DNS 记录,ACM 可以为您添加 CNAME 记录。
  • 与使用电子邮件验证过程相比,使用 DNS 验证过程的自动化更简单。
  • 您可以切换到 DNS 验证,无需额外费用。

对于使用旧 ACM 证书且与 AWS Certificate Manager 集成的服务,必须更新才能使用新证书。这是因为新 ACM 证书会生成一个 Amazon 资源名称 (ARN)。您无法使用新的 ACM 证书保留 ARN。只有续订的 ACM 证书才能保留相同的 ARN。

您可以通过在命令行中运行以下命令来为 ACM 证书建立区域:

$aws acm describe-certificate --certificate-arn arn:aws:acm:region:12345678911:certificate/123456-1234-1234-1234-123456789 --output text |grep INUSEBY

有关如何使用 DNS 验证的详细信息和指南,请参阅使用 DNS 验证域所有权