为什么我的 ACM 证书无法自动续订?

上次更新时间:2019 年 8 月 7 日

我使用自动域验证流程,但无法续订我的 AWS Certificate Manager (ACM) 证书。为什么无法续订我的 ACM 证书?

简短描述

在证书过期之前大约 60 天的时候,ACM 将开始适用于 ACM 的由 Amazon 颁发的证书的托管续订流程。ACM 将尝试验证证书中包含的每个域名。完成所有关联域名的验证后,ACM 证书将会续订。有关更多信息,请参阅域验证的工作方式

如果有下列任何情况,通过电子邮件和 DNS 验证的证书的自动验证流程可能会失败:

如果有下列任何情况,通过电子邮件验证的证书的自动验证流程可能会失败:

  • ACM 无法与 ACM 证书中包含的所有域名建立 HTTPS 连接。
  • 对于与您的域名建立的每个 HTTPS 连接,应答中返回的公有证书与要续订的 ACM 证书不匹配。

如果 ACM 无法在 DNS 数据库中找到对应的 CNAME 记录,则通过 DNS 验证的证书的自动验证流程可能会失败。

解决方法

通过电子邮件和 DNS 验证的证书

请确保该 ACM 证书正用于某个与 AWS Certificate Manager 集成的服务

通过电子邮件验证的证书

通过 DNS 验证的证书

更新您的 DNS 配置,以包含 ACM 提供的 CNAME 记录。

在托管续订流程中,ACM 会在证书到期前 45 天之前,尝试与证书中包含的域名建立 HTTPS 连接。对于通过 DNS 验证的证书中包含的域名,ACM 会在 DNS 配置中查找对应的 CNAME 记录。在此过程中,您的 ACM 证书的续订状态将是“等待自动续订”。 有关更多信息,请参阅检查证书的续订状态

如果证书通过自动验证并且无需采取进一步的措施,则续订状态将变为“成功”。 如果托管续订流程失败,您可以使用电子邮件验证域所有权使用 DNS 验证域所有权,从而手动验证您的域。有关更多信息,请参阅当自动证书续订失败时

成功续订证书后,续订后的 ACM 证书的 Amazon 资源名称 (ARN) 保持不变。续订后的 ACM 证书会自动更新到正在使用的集成 AWS 资源。