為什麼使用 ACM 核發或續約憑證時,我沒有收到驗證電子郵件?
為什麼我沒有收到核發或續約 AWS Certificate Manager (ACM) 憑證的驗證電子郵件?
簡短描述
只要網域有 MX 記錄,ACM 就會將驗證電子郵件傳送至五個一般系統地址。如需預設電子郵件地址的清單,請參閱 MX 記錄。
ACM 也會傳送網域驗證電子郵件至 WHOIS 清單中與網域註冊人、技術聯絡人和管理聯絡人欄位相關聯的電子郵件地址。如需詳細資訊,請參閱透過電子郵件驗證網域擁有權。
某些網域註冊商不會在 WHOIS (「Who is」) 資料中填入聯絡資訊。在下列情況下,您的 ACM 憑證核發或續約可能會受影響:
- 您的網域註冊商不會在 WHOIS 資料中包含聯絡人電子郵件地址。
- 您可以在 WHOIS 中使用自訂電子郵件地址,以進行憑證驗證。
電子郵件驗證的 WHOIS 查詢是在 Apex 網域上執行,並在網域註冊人、技術聯絡人和系統管理聯絡人欄位中搜尋電子郵件地址。請使用 WHOIS 查詢驗證您列出的電子郵件地址。如需其他資訊,請參閱啟用或停用網域聯絡資訊的隱私權保護。如果您的網域已啟用隱私權保護,您可能不會收到類似下列內容的回覆或回應:
Registrant Contact Name: Data Protected Data Protected Organization: Data Protected Mailing Address: 123 Data Protected, Toronto ON M6K 3M1 CA Phone: +1.0000000000 Ext: Fax: +1.0000000000 Fax Ext: Email:noreply@data-protected.net
注意:
- ACM 與 CAPTCHA 不相容。ACM 可能會找不到使用 CAPTCHA 文字設定的 WHOIS 資料。
- AWS 並不控制 WHOIS 資料,也無法防止 WHOIS 伺服器限流。如需詳細資訊,請參閱 WHOIS 限流。
解決方案
視您的偏好以及維護或切換所需的工作量而定,有兩個選項可供選擇。
- 您無法將 ACM 憑證的驗證方法從電子郵件轉換為 DNS,或從 DNS 轉換為電子郵件。若要切換驗證方法,請要求新的 ACM 憑證來取代舊的憑證。
- 如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請確定您使用的是最新的 AWS CLI 版本。
選項 1 - 使用電子郵件
檢查您的網域憑證以驗證電子郵件地址。
- 開啟 ACM 主控台,然後選擇列出憑證。
- 選擇您要續約的憑證。
- 在網域中,請記下已註冊的擁有者欄位。通常,已註冊的擁有者包括 admin@、administrator@、hostmaster@、postmaster@、webmaster@。
如果未列出這五個系統電子郵件地址,請使用下列命令確認該網域至少有一個有效的 MX 記錄:
Linux 和 macOS
$dig mx example.com
Windows
$nslookup -q=mx example.com
MX 記錄中指示的郵件伺服器,會傳送類似下列內容的驗證電子郵件:
;; ANSWER SECTION: example.com. 599 IN MX 10 mail1.example.com. example.com. 599 IN MX 20 mail2.example.com.
在以下情況下,您也可以使用 Amazon Simple Email Service (Amazon SES) 和 Amazon Simple Notification Service (Amazon SNS) 來接收 ACM 驗證電子郵件:
- 您沒有 MX 記錄
- 您的網域註冊商不支援電子郵件轉寄功能。
請遵循使用 AWS 管理主控台或 AWS CLI 重新發送驗證電子郵件的說明。
如需詳細資訊,請參閱疑難排解電子郵件驗證問題。
選項 2 - 使用 DNS
若要切換至 DNS 驗證,請重新建立 ACM 憑證,然後選取 DNS 驗證。與電子郵件驗證相比,DNS 驗證具有幾項優點,尤其是當您網域的 DNS 提供者是 Amazon Route 53 時。
- DNS 要求您為每個網域名稱建立一個僅用於請求 ACM 憑證的 CNAME 記錄。電子郵件驗證則會為每個網域名稱最多傳送八封電子郵件。
- 如果 DNS 記錄正在使用中,您可以為您的完整網域名稱 (FQDN) 請求其他 ACM 憑證。
- ACM 會自動續約您透過 DNS 驗證的憑證。如果憑證和 DNS 記錄都在使用中,ACM 會在到期前續約每個憑證。
- 如果您使用 Route 53 管理公有 DNS 記錄,ACM 可以為您新增 CNAME 記錄。
- 與使用電子郵件驗證程序相比,使用 DNS 驗證程序的自動化比較不複雜。
- 您可以切換到 DNS 驗證,且無需額外費用。
使用舊 ACM 憑證之整合 AWS Certificate Manager 的服務,必須經過更新才能使用新憑證。這是因為新的 ACM 憑證會產生 Amazon Resource Name (ARN)。新的 ACM 憑證無法保留 ARN。只有續約的 ACM 憑證可保留相同的 ARN。
您可以執行類似下列內容的 AWS CLI 命令 describe-certificate,來啟用 ACM 憑證的區域:
$aws acm describe-certificate --certificate-arn arn:aws:acm:region:12345678911:certificate/123456-1234-1234-1234-123456789 --output text |grep INUSEBY
如需詳細資訊,請參閱 DNS 驗證。
相關資訊
相關內容
- 已提問 2 年前lg...
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 8 個月前
- AWS 官方已更新 3 個月前