Warum erhalte ich keine Bestätigungs-E-Mails, wenn ich ACM zur Ausstellung oder Erneuerung eines Zertifikats verwende?

Lesedauer: 5 Minute

Warum habe ich keine Bestätigungs-E-Mail zur Ausstellung oder Erneuerung von AWS Certificate Manager (ACM)-Zertifikaten erhalten?

Kurzbeschreibung

ACM sendet die Validierungs-E-Mails an die fünf allgemeinen Systemadressen, solange ein MX-Eintrag für die Domain existiert. Eine Liste der Standard-E-Mail-Adressen finden Sie unter MX-Eintrag.

ACM sendet zudem eine E-Mail zur Domainvalidierung an die E-Mail-Adressen, die den Feldern für den Domain-Registranten, den technischen Kontakt und den administrativen Kontakt in der WHOIS-Liste zugeordnet sind. Weitere Informationen finden Sie unter Domain-Besitz per E-Mail verifizieren.

Einige Domain-Registrare geben die Kontaktinformationen in den WHOIS-Daten („Wer ist“) nicht an. Die Ausstellung oder Erneuerung Ihres ACM-Zertifikats kann beeinträchtigt werden, wenn:

Ihr Domain-Registrar keine Kontakt-E-Mail-Adressen in die WHOIS-Daten aufnimmt.
Sie für die Zertifikatsvalidierung in WHOIS benutzerdefinierte E-Mail-Adressen verwenden.

Die WHOIS-Suche zur E-Mail-Validierung wird auf der Apex-Domain durchgeführt und sucht in den Feldern Domain-Registrant, technischer Kontakt und administrativer Kontakt nach E-Mail-Adressen. Überprüfen Sie Ihre aufgelisteten E-Mail-Adressen mithilfe einer WHOIS-Abfrage. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des Datenschutzes für Kontaktinformationen für eine Domain. Wenn für Ihre Domain der Datenschutz aktiviert ist, erhalten Sie möglicherweise keine Antwort oder eine Antwort, die der folgenden ähnelt:

Registrant Contact
Name: Data Protected Data Protected
Organization: Data Protected
Mailing Address: 123 Data Protected, Toronto ON M6K 3M1 CA
Phone: +1.0000000000
Ext:
Fax: +1.0000000000
Fax Ext:
Email:noreply@data-protected.net

Hinweis:

ACM ist nicht mit CAPTCHA kompatibel. ACM findet möglicherweise keine WHOIS-Daten, die mit einem CAPTCHA-Text konfiguriert sind.
AWS kontrolliert die WHOIS-Daten nicht und kann die WHOIS-Serverdrosselung nicht verhindern. Weitere Informationen finden Sie unter WHOIS-Drosselung.

Lösung

Je nach Ihren Präferenzen und dem Aufwand, der für die Wartung oder Umstellung erforderlich ist, stehen zwei Optionen zur Verfügung.

Sie können die Validierungsmethode eines ACM-Zertifikats nicht von E-Mail zu DNS oder von DNS zu E-Mail konvertieren. Um zwischen den Validierungsmethoden zu wechseln, fordern Sie ein neues ACM-Zertifikat an, das das vorherige ersetzt.
Wenn Sie beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.

Option 1 – E-Mail verwenden

Überprüfen Sie Ihr Zertifikat für Ihre Domain, um die E-Mail-Adressen zu überprüfen.

Öffnen Sie die ACM-Konsole und wählen Sie dann Zertifikate auflisten aus.
Wählen Sie das Zertifikat aus, das Sie erneuern möchten.
Beachten Sie unter Domains das Feld Registrierte Besitzer. Normalerweise gehören zu den registrierten Besitzern admin@, administrator@, hostmaster@, postmaster@, webmaster@.

Wenn die fünf System-E-Mail-Adressen nicht aufgeführt sind, überprüfen Sie mithilfe der folgenden Befehle, dass die Domain über mindestens einen gültigen MX-Eintrag verfügt:

Linux und macOS

$dig mx example.com

Windows

$nslookup -q=mx example.com

Den im MX-Eintrag angegebenen Mailservern werden die Validierungs-E-Mails ähnlich den folgenden gesendet:

;; ANSWER SECTION:
example.com.             599     IN      MX      10 mail1.example.com.
example.com.             599     IN      MX      20 mail2.example.com.

Sie können zudem den Amazon Simple Email Service (Amazon SES) und den Amazon Simple Notification Service (Amazon SNS) verwenden, um eine ACM-Validierungs-E-Mail zu erhalten, wenn:

Sie über keinen MX-Eintrag verfügen
Ihr Domain-Registrar keine E-Mail-Weiterleitung unterstützt.

Folgen Sie den Anweisungen zum erneuten Senden der Validierungs-E-Mail mithilfe der AWS-Managementkonsole oder der AWS-CLI.

Weitere Informationen finden Sie unter Beheben von Problemen mit der E-Mail-Validierung.

Option 2 – DNS verwenden

Um zur DNS-Validierung zu wechseln, erstellen Sie das ACM-Zertifikat erneut und wählen Sie dann DNS für die Validierung aus. Die DNS-Validierung hat mehrere Vorteile gegenüber der E-Mail-Validierung, insbesondere wenn Amazon Route 53 der DNS-Anbieter für Ihre Domain ist.

DNS erfordert, dass Sie einen CNAME-Eintrag pro Domainnamen erstellen, der nur für die Anforderung eines ACM-Zertifikats verwendet wird. Bei der E-Mail-Validierung werden bis zu acht E-Mail-Nachrichten pro Domainname gesendet.
Sie können zusätzliche ACM-Zertifikate für Ihren voll qualifizierten Domainnamen (FQDN) anfordern, wenn der DNS-Eintrag verwendet wird.
ACM erneuert automatisch Zertifikate, die Sie mithilfe von DNS validiert haben. ACM erneuert jedes Zertifikat vor Ablauf, wenn sowohl das Zertifikat als auch der DNS-Eintrag verwendet werden.
ACM kann den CNAME-Eintrag für Sie hinzufügen, wenn Sie Route 53 verwenden, um Ihre öffentlichen DNS-Einträge zu verwalten.
Die Automatisierung mithilfe des DNS-Validierungsprozesses ist weniger komplex als die Verwendung des E-Mail-Validierungsprozesses.
Sie können ohne zusätzliche Kosten zur DNS-Validierung wechseln.

Dienste, die mithilfe des vorherigen ACM-Zertifikats in den AWS Certificate Manager integriert wurden, müssen aktualisiert werden, um das neue Zertifikat zu verwenden. Dies liegt daran, dass neue ACM-Zertifikate einen Amazon Resource Name (ARN) generieren. Sie können den ARN nicht für ein neues ACM-Zertifikat beibehalten. Nur erneuerte ACM-Zertifikate behalten denselben ARN.

Sie können die Region für ein ACM-Zertifikat festlegen, indem Sie den AWS-CLI-Befehl describe-certificate ausführen, der dem folgenden ähnelt:

$aws acm describe-certificate --certificate-arn arn:aws:acm:region:12345678911:certificate/123456-1234-1234-1234-123456789 --output text |grep INUSEBY

Weitere Informationen finden Sie unter DNS-Validierung.