为什么在续订证书时无法从 ACM 重新发送验证电子邮件?

上次更新时间:2019 年 12 月 18 日

我在使用 AWS Certificate Manager (ACM) 续订证书,然后我想重新发送验证电子邮件。但是,此选项不可用,或者我收到一条错误消息。如何解决此问题?

简短描述

如果您使用电子邮件验证域所有权,则 ACM 会向 WHOIS 中列出的三个联系人地址和证书请求中所指定域的五个常用系统地址发送电子邮件。如果证书的续订状态为等待验证,您可以为证书续订请求域验证电子邮件

在以下情况下,无法重新发送验证电子邮件:

  • 证书续订状态不是等待验证
  • 证书续订状态为等待验证,但使用者可选名称 (SAN) 的域验证状态不是等待验证
  • 已使用域名系统 (DNS) 验证域。

解决方法

证书续订状态不是等待验证

检查证书的续订状态。如果证书续订状态不是等待验证,则重新发送验证电子邮件的选项将不可用(灰显),或者您会收到以下错误消息:

Certificate arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e is not using EMAIL validation for domain example.com.

如果证书的续订状态为等待验证,系统将重新发送验证电子邮件

如果证书的续订状态为失败,则您无法请求重新发送验证电子邮件。您必须请求公有证书

证书续订状态为等待验证,但 SAN 的域验证状态不是等待验证

在续订过程中,如果至少一个域自动进行验证,则您尝试重新发送相同域的验证电子邮件时,会收到以下错误:

Certificate arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e is not using EMAIL validation for domain example.com.

要确认必须验证哪些域,请使用 AWS 命令行界面 (AWS CLI) 命令 describe-certificate。您可以使用 AWS CLI 为没有验证的电子邮件指定基本验证域。有关更多信息,请参阅 resend-validation-email

注意:您只能重新发送续订状态为等待验证的域的验证电子邮件。

已使用 DNS 验证域

如果您使用 DNS 验证域所有权,则无法重新发送验证电子邮件,且 ACM 控制台中用于重新发送验证电子邮件的选项不可用(灰显)。如果您使用的是 AWS CLI,可能会收到以下错误消息:

An error occurred (InvalidStateException) when calling the ResendValidationEmail operation: Certificate arn:aws:acm:us-arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e is not using EMAIL validation for domain example.com.