Perché non ricevo e-mail di convalida quando utilizzo ACM per emettere o rinnovare un certificato?

Descrizione breve

ACM invia le e-mail di convalida ai cinque indirizzi di sistema comuni purché esista un record MX per il dominio. Per un elenco degli indirizzi e-mail predefiniti, vedi MX record.

ACM invia inoltre un'e-mail di convalida del dominio agli indirizzi e-mail associati ai contatti tecnici, ai campi dei contatti amministrativi e al registrant del dominio nell'elenco WHOIS. Per ulteriori informazioni, vedi come convalidare la proprietà del dominio tramite e-mail.

Alcuni registrar di domini non inseriscono le informazioni di contatto nei dati WHOIS ("Chi è"). Il rilascio o il rinnovo del certificato ACM possono essere influenzati se:

• Il tuo registrar di domini non include gli indirizzi e-mail di contatto nei dati WHOIS.
• Utilizzi indirizzi e-mail personalizzati in WHOIS per la convalida dei certificati.

La ricerca WHOIS per la convalida delle e-mail viene eseguita sul dominio apex e cerca gli indirizzi e-mail nei contatti tecnici, nei campi dei contatti amministrativi e nel registrant del dominio. Verifica gli indirizzi e-mail elencati utilizzando una query WHOIS. Per ulteriori informazioni, consulta l'articolo Enabling or disabling privacy protection for contact information for a domain. Se la protezione della privacy del tuo dominio è abilitata, potresti non ricevere una risposta o ricevere una risposta simile alla seguente:

Registrant Contact
Name: Data Protected Data Protected
Organization: Data Protected
Mailing Address: 123 Data Protected, Toronto ON M6K 3M1 CA
Phone: +1.0000000000
Ext:
Fax: +1.0000000000
Fax Ext:
Email:noreply@data-protected.net

Nota:

• ACM non è compatibile con CAPTCHA. ACM potrebbe non individuare i dati WHOIS configurati con un testo CAPTCHA.
• AWS non controlla i dati WHOIS e non può impedire la limitazione (della larghezza di banda della rete) dei server WHOIS. Per ulteriori informazioni, vedi come funziona la limitazione (della larghezza di banda della rete) WHOIS.

Soluzione

Sono disponibili due opzioni a seconda delle preferenze e dello sforzo richiesto per la manutenzione o il passaggio.

• Non puoi convertire il metodo di convalida di un certificato ACM da e-mail a DNS o da DNS a e-mail. Per cambiare metodo di convalida, richiedi un nuovo certificato ACM che sostituisca quello precedente.
• Se riscontri errori durante l'esecuzione dei comandi dell'Interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione AWS CLI più recente.

Opzione 1: usa l'e-mail

Controlla il certificato per il tuo dominio in modo da verificare gli indirizzi e-mail.

1. Apri la console ACM, quindi scegli Elenca certificati.
2. Scegli il certificato che desideri rinnovare.
3. In Domini, annota il campo Proprietari registrati. Di solito i proprietari registrati includono admin@, administrator@, hostmaster@, postmaster@, webmaster@.

Se i cinque indirizzi e-mail di sistema non sono elencati, conferma che il dominio abbia almeno un record MX valido utilizzando i seguenti comandi:

Linux e macOS

$dig mx example.com

Windows

$nslookup -q=mx example.com

Ai server di posta indicati nel record MX vengono inviate e-mail di convalida simili alle seguenti:

;; ANSWER SECTION:
example.com.             599     IN      MX      10 mail1.example.com.
example.com.             599     IN      MX      20 mail2.example.com.

Puoi anche utilizzare Amazon Simple Email Service (Amazon SES) e Amazon Simple Notification Service (Amazon SNS) per ricevere un'e-mail di convalida ACM se:

• Non hai un record MX
• Il tuo registrar di domini non supporta l'inoltro di e-mail.

Segui le istruzioni per inviare nuovamente l'e-mail di convalida utilizzando la Console di gestione AWS o l'interfaccia AWS CLI.

Per ulteriori informazioni, consulta l'articolo Risoluzione dei problemi di convalida e-mail.

Opzione 2: usa il DNS

Per passare alla convalida DNS, ricrea il certificato ACM, quindi seleziona DNS per la convalida. La convalida DNS presenta diversi vantaggi rispetto alla convalida delle e-mail, soprattutto se Amazon Route 53 è il provider DNS per il tuo dominio.

• Il DNS richiede la creazione di un record CNAME per nome di dominio utilizzato solo per richiedere un certificato ACM. La convalida e-mail invia fino a otto messaggi e-mail per ciascun nome di dominio.
• Puoi richiedere certificati ACM aggiuntivi per il tuo nome di dominio completo (FQDN, Fully Qualified Domain Name) se il record DNS è in uso.
• ACM rinnova automaticamente i certificati convalidati tramite DNS. ACM rinnova ogni certificato prima della scadenza, se il certificato e il record DNS sono entrambi in uso.
• Se utilizzi Route 53 per gestire i tuoi record DNS pubblici, ACM può aggiungere il record CNAME al tuo posto.
• L'automazione mediante il processo di convalida DNS è meno complessa rispetto all'utilizzo del processo di convalida delle e-mail.
• Puoi passare alla convalida DNS senza costi aggiuntivi.

I servizi integrati con Gestione certificati AWS che usano il certificato ACM precedente devono essere aggiornati per impiegare il nuovo certificato. Ciò è necessario perché i nuovi certificati ACM generano un nome della risorsa Amazon (ARN). Non puoi mantenere l'ARN con un nuovo certificato ACM. Solo i certificati ACM rinnovati mantengono lo stesso ARN.

Puoi stabilire la regione per un certificato ACM eseguendo il comando AWS CLI describe-certificate in modo simile al seguente:

$aws acm describe-certificate --certificate-arn arn:aws:acm:region:12345678911:certificate/123456-1234-1234-1234-123456789 --output text |grep INUSEBY

Per ulteriori informazioni, vedi Convalida DNS.

Informazioni correlate

Risoluzione dei problemi di convalida dei certificati

Rinnovo gestito per i certificati ACM

Verifica dello stato di rinnovo di un certificato

Rinnovo per domini convalidati tramite e-mail