AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

为什么在续订证书时无法从 ACM 重新发送验证电子邮件？

1 分钟阅读

我在使用 AWS Certificate Manager（ACM）续订证书，然后我想重新发送验证电子邮件。但是，该选项不可用，或者我收到一条错误消息。

简短描述

要续订 ACM 证书，您可以使用电子邮件验证的续订或 DNS 验证的续订。

**重要事项：**2024 年，ACM 已停止对通过电子邮件验证的证书进行 WHOIS 查询。最佳做法是使用 DNS 验证代替电子邮件验证。

如果您使用电子邮件来验证域所有权，则 ACM 会向请求中指定域的五个通用系统地址发送电子邮件。如果证书的续订状态为 pending validation（等待验证），则可以为续订证书请求域验证电子邮件。

在下列情境下，无法重新发送验证电子邮件：

证书续订状态不是 pending validation（等待验证）。
证书续订状态为 pending validation（等待验证），但主题备用名称 (SAN) 的域验证状态不是 pending validation（等待验证）。
您使用了 DNS 来验证证书的域。

解决方法

根据用例执行以下故障排除步骤。

**注意：**如果在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误，请参阅 AWS CLI 错误故障排除。此外，请确保您使用的是最新版本的 AWS CLI。

证书续订状态不是 pending validation（等待验证）

检查证书的续订状态。如果证书续订状态不是 pending validation（等待验证），则重新发送验证电子邮件的选项不可用，或者会收到以下错误：

“证书 arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e 未对 domain example.com 使用电子邮件验证。”

如果证书的续订状态为 pending validation（等待验证），请重新发送验证电子邮件。如果证书的续订状态为 failed（失败），则无法请求重新发送验证电子邮件。此时，必须申请新的公有证书。

证书续订状态为 pending validation（等待验证），但 SAN 的域验证状态不是 pending validation（等待验证）

如果某个域被自动验证，在您尝试重新发送相同域的验证电子邮件时，会收到以下错误：

“证书 arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e 未对 domain example.com 使用电子邮件验证。”

要确认必须验证的域，请运行 describe-certificate。将 your-certificate-arn 替换为证书的 ARN：

aws acm describe-certificate --certificate-arn your_certificate_arn --query Certificate.RenewalSummary.DomainValidationOptions

输出示例：

[
  {
    "DomainName": "example.com",
    "ValidationEmails": [
      "hostmaster@example.com",
      "postmaster@example.com",
      "admin@example.com",
      "webmaster@example.com",
      "administrator@example.com"
    ],
    "ValidationDomain": "example.com",
    "ValidationStatus": "SUCCESS",
    "ResourceRecord": null,
    "ValidationMethod": "EMAIL"
  },
  {
    "DomainName": "example.net",
    "ValidationEmails": [
      "hostmaster@example.net",
      "postmaster@example.net",
      "admin@example.net",
      "webmaster@example.net",
      "administrator@example.net"
    ],
    "ValidationDomain": "example.net",
    "ValidationStatus": "PENDING_VALIDATION",
    "ResourceRecord": null,
    "ValidationMethod": "EMAIL"
  }
]

在前面的示例中，域名 example.com 和 example.net 包含在证书中。example.com 的验证状态为 SUCCESS（成功），因为验证已完成。由于域验证未完成，example.net 的验证状态为 PENDING VALIDATION（等待验证）。

使用 ACM 控制台或 AWS CLI 重新发送验证电子邮件。

注意：只能重新发送续订状态为等待验证的域的验证电子邮件。

使用了 DNS 来验证域

如果您使用了 DNS 验证域所有权，则不会收到验证电子邮件。如果您使用电子邮件验证创建了证书，则无法使用 DNS 来验证证书。在 ACM 控制台中，重新发送验证的选项不可用。

有关详细信息，请参阅使用 ACM 颁发或续订证书时，为什么我没有收到验证电子邮件？