使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

為什麼使用 ACM 核發或續約憑證時,我沒有收到驗證電子郵件?

2 分的閱讀內容
0

為什麼我沒有收到核發或續約 AWS Certificate Manager (ACM) 憑證的驗證電子郵件?

簡短描述

只要網域有 MX 記錄,ACM 就會將驗證電子郵件傳送至五個一般系統地址。如需預設電子郵件地址的清單,請參閱 MX 記錄

ACM 也會傳送網域驗證電子郵件至 WHOIS 清單中與網域註冊人、技術聯絡人和管理聯絡人欄位相關聯的電子郵件地址。如需詳細資訊,請參閱透過電子郵件驗證網域擁有權

某些網域註冊商不會在 WHOIS (「Who is」) 資料中填入聯絡資訊。在下列情況下,您的 ACM 憑證核發或續約可能會受影響:

  • 您的網域註冊商不會在 WHOIS 資料中包含聯絡人電子郵件地址。
  • 您可以在 WHOIS 中使用自訂電子郵件地址,以進行憑證驗證。

電子郵件驗證的 WHOIS 查詢是在 Apex 網域上執行,並在網域註冊人、技術聯絡人和系統管理聯絡人欄位中搜尋電子郵件地址。請使用 WHOIS 查詢驗證您列出的電子郵件地址。如需其他資訊,請參閱啟用或停用網域聯絡資訊的隱私權保護。如果您的網域已啟用隱私權保護,您可能不會收到類似下列內容的回覆或回應:

Registrant Contact
Name: Data Protected Data Protected
Organization: Data Protected
Mailing Address: 123 Data Protected, Toronto ON M6K 3M1 CA
Phone: +1.0000000000
Ext:
Fax: +1.0000000000
Fax Ext:
Email:noreply@data-protected.net

注意:

  • ACM 與 CAPTCHA 不相容。ACM 可能會找不到使用 CAPTCHA 文字設定的 WHOIS 資料。
  • AWS 並不控制 WHOIS 資料,也無法防止 WHOIS 伺服器限流。如需詳細資訊,請參閱 WHOIS 限流。

解決方案

視您的偏好以及維護或切換所需的工作量而定,有兩個選項可供選擇。

  • 您無法將 ACM 憑證的驗證方法從電子郵件轉換為 DNS,或從 DNS 轉換為電子郵件。若要切換驗證方法,請要求新的 ACM 憑證來取代舊的憑證。
  • 如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請確定您使用的是最新的 AWS CLI 版本

選項 1 - 使用電子郵件

檢查您的網域憑證以驗證電子郵件地址。

  1. 開啟 ACM 主控台,然後選擇列出憑證
  2. 選擇您要續約的憑證。
  3. 網域中,請記下已註冊的擁有者欄位。通常,已註冊的擁有者包括 admin@、administrator@、hostmaster@、postmaster@、webmaster@。

如果未列出這五個系統電子郵件地址,請使用下列命令確認該網域至少有一個有效的 MX 記錄:

Linux 和 macOS

$dig mx example.com

Windows

$nslookup -q=mx example.com

MX 記錄中指示的郵件伺服器,會傳送類似下列內容的驗證電子郵件:

;; ANSWER SECTION:
example.com.             599     IN      MX      10 mail1.example.com.
example.com.             599     IN      MX      20 mail2.example.com.

在以下情況下,您也可以使用 Amazon Simple Email Service (Amazon SES) 和 Amazon Simple Notification Service (Amazon SNS) 來接收 ACM 驗證電子郵件:

  • 您沒有 MX 記錄
  • 您的網域註冊商不支援電子郵件轉寄功能。

請遵循使用 AWS 管理主控台或 AWS CLI 重新發送驗證電子郵件的說明。

如需詳細資訊,請參閱疑難排解電子郵件驗證問題

選項 2 - 使用 DNS

若要切換至 DNS 驗證,請重新建立 ACM 憑證,然後選取 DNS 驗證。與電子郵件驗證相比,DNS 驗證具有幾項優點,尤其是當您網域的 DNS 提供者是 Amazon Route 53 時。

  • DNS 要求您為每個網域名稱建立一個僅用於請求 ACM 憑證的 CNAME 記錄。電子郵件驗證則會為每個網域名稱最多傳送八封電子郵件。
  • 如果 DNS 記錄正在使用中,您可以為您的完整網域名稱 (FQDN) 請求其他 ACM 憑證。
  • ACM 會自動續約您透過 DNS 驗證的憑證。如果憑證和 DNS 記錄都在使用中,ACM 會在到期前續約每個憑證。
  • 如果您使用 Route 53 管理公有 DNS 記錄,ACM 可以為您新增 CNAME 記錄。
  • 與使用電子郵件驗證程序相比,使用 DNS 驗證程序的自動化比較不複雜。
  • 您可以切換到 DNS 驗證,且無需額外費用。

使用舊 ACM 憑證之整合 AWS Certificate Manager 的服務,必須經過更新才能使用新憑證。這是因為新的 ACM 憑證會產生 Amazon Resource Name (ARN)。新的 ACM 憑證無法保留 ARN。只有續約的 ACM 憑證可保留相同的 ARN。

您可以執行類似下列內容的 AWS CLI 命令 describe-certificate,來啟用 ACM 憑證的區域:

$aws acm describe-certificate --certificate-arn arn:aws:acm:region:12345678911:certificate/123456-1234-1234-1234-123456789 --output text |grep INUSEBY

如需詳細資訊,請參閱 DNS 驗證

相關資訊

疑難排解憑證驗證

ACM 憑證的受管更新

檢查憑證的續約狀態

透過電子郵件驗證之網域的更新

主題
安全性、身分識別與合規
標籤
AWS Certificate Manager
語言
中文 (繁體)

相關影片

觀看 Fola 的影片,了解更多資訊 (2:26)
觀看 Fola 的影片,了解更多資訊 (2:26)
AWS 官方
AWS 官方已更新 2 年前
沒有評論

相關內容