为什么我的公有可信 ACM 证书无法通过托管续订?

上次更新日期:2022 年 3 月 25 日

我的 AWS Certificate Manager(ACM)证书续订失败。为什么我的 ACM 证书无法续订?

简短描述

ACM 提供 AWS 颁发的 SSL/TLS 证书的托管续订。这意味着,如果您正在使用 DNS 验证,ACM 要么自动续订证书,要么在即将过期时向您发送电子邮件通知。ACM 会尝试验证证书中包含的每个域名。验证与证书关联的所有域名后,ACM 证书将续订。有关更多信息,请参阅排查托管证书续订问题

在以下情况下,电子邮件和 DNS 验证证书的托管续订可能会失败:

  • 证书已导入到 ACM 中。导入的证书不会自动续订。
  • 要续订的 ACM 证书未在使用 - ACM 证书未与任何集成了 ACM 的服务相关联。

续订通过电子邮件验证的域需要手动操作。ACM 在过期前 45 天开始使用域的 WHOIS 邮箱地址和五个常用管理员地址发送电子邮件续订通知。通知中包含一个链接,域拥有者可以选择该链接进行续订。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。

如果 ACM 无法在 DNS 数据库中找到相应的别名记录,则通过 DNS 验证的域的托管续订可能会失败。

解决方法

通过电子邮件和 DNS 验证的证书

请确保 ACM 证书正在与某项集成了 ACM 的服务结合使用。

通过电子邮件验证的证书

对于通过电子邮件验证的证书,ACM 必须能够向证书中列出的每个域的 WHOIS 邮箱地址和五个常用管理员地址发送邮件。验证所有列出的域后,ACM 会颁发具有相同 ARN 的续订证书。有关更多信息,请参阅电子邮件验证

通过 DNS 验证的证书

更新您的 DNS 配置,以包含 ACM 提供的别名记录。对于通过 DNS 验证的证书中包含的域名,ACM 会在 DNS 配置中查找对应的别名记录。

成功续订证书后,续订后的 ACM 证书的 Amazon Resource Name(ARN)保持不变。续订的 ACM 证书会自动更新到正在使用的集成 AWS 资源。

有关更多信息,请参阅排查托管证书续订问题