本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 续订 ACM 公有证书
<a name="renew-publicly-trusted"></a>

在颁发受管理的公开信任证书时， AWS Certificate Manager 需要您证明自己是域名所有者。这可以通过 [DNS 验证](dns-validation.md)或[电子邮件验证](email-validation.md)的方式进行。当证书需要续订时，ACM 会使用您之前选择的相同方法来重新验证您的所有权。以下主题说明了续订过程在各种情况下的工作机制。

**Topics**
+ [续订通过 DNS 验证的域](dns-renewal-validation.md)
+ [续订使用电子邮件验证的域](email-renewal-validation.md)
+ [续订通过 HTTP 验证的域](http-renewal-validation.md)

# 续订通过 DNS 验证的域
<a name="dns-renewal-validation"></a>

对于最初使用 [DNS 验证](dns-validation.md)颁发的 ACM 证书，托管续订是完全自动化的。

在到期前 45 天，ACM 会检查以下续订标准：

**注意**  
之前签发的有效期为 395 天的证书将在到期前 60 天续期，续订有效期为 198 天。有效期为 198 天的证书将在到期前 45 天续期。
+ 该证书目前正由某项 AWS 服务使用。
+ ACM 提供的所有必需 DNS CNAME 记录（每个唯一的主题备用名称一个）都存在并可以通过公共 DNS 访问。

如果满足这些条件，ACM 将认为域名已通过验证并续订证书。

如果 ACM 在续订期间无法自动验证域名，则会发送 AWS Health EventBridge 事件和 Amazon 事件。这些事件在到期前 30 天、15 天、7 天、3 天和 1 天发送。有关更多信息，请参阅 [亚马逊对 ACM 的 EventBridge 支持](supported-events.md)。

# 续订使用电子邮件验证的域
<a name="email-renewal-validation"></a>

ACM 证书的有效期为 198 天。续订证书需要域所有者执行操作。ACM 会在证书到期前 45 天开始向与该域关联的电子邮件地址发送续订通知。该通知会包含一个链接，域所有者可以单击该链接进行续订。验证所有列出的域后，ACM 会颁发具有相同 ARN 的续订证书。

如果 ACM 在续订期间无法自动验证域名，则会发送 AWS Health EventBridge 事件和 Amazon 事件。这些事件在到期前 30 天、15 天、7 天、3 天和 1 天发送。有关更多信息，请参阅 [亚马逊对 ACM 的 EventBridge 支持](supported-events.md)。

有关验证电子邮件的更多信息，请参阅[AWS Certificate Manager 电子邮件验证](email-validation.md)。

要了解如何以编程方式回复验证电子邮件，请参阅[自动验证 AWS Certificate Manager 电子邮件](email-automation.md)。

## 重新发送验证电子邮件
<a name="request-domain-validation-email-for-renewal"></a>

在申请证书时为域名配置电子邮件验证后（请参阅[AWS Certificate Manager 电子邮件验证](email-validation.md)），您可以使用 AWS Certificate Manager API 请求 ACM 向您发送一封用于续订证书的域名验证电子邮件。您应在以下情况下执行此操作：
+ 您最初请求 ACM 证书时使用的是电子邮件验证。
+ 您的证书的续订状态为**等待验证**。有关确定证书的续订状态的信息，请参阅[检查证书的续订状态](check-certificate-renewal-status.md)。
+ 您未收到或无法找到 ACM 为证书续订发送的原始域验证电子邮件。

要将验证电子邮件发送到与您在证书请求中最初配置的域不同的域，可以使用 ACM API 中的[ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)操作 AWS CLI、或 AWS SDKs。ACM 会将电子邮件发送到指定的验证域。您可以通过在支持的区域 AWS CLI AWS CloudShell 中使用来访问浏览器内的。

**请求 ACM 重新发送域验证电子邮件（控制台）**

1. 在家中打开[https://console.aws.amazon.com/acm/主 AWS Certificate Manager](https://console.aws.amazon.com/acm/home)机。

1. 选择需要验证的证书的**证书 ID**。

1. 选择 **Resend validation email**（重新发送验证电子邮件）。

**请求 ACM 重新发送域验证电子邮件 (ACM API)**  
在 ACM API 中使用该[ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)操作。在这种情况下，传递证书的 ARN、需要手动验证的域以及您要在其中接收域验证电子邮件的域。以下示例说明如何使用 AWS CLI执行该操作。此示例包含换行符以便于阅读。

```
$ aws acm resend-validation-email \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID \
	--domain subdomain.example.com \
	--validation-domain example.com
```

# 续订通过 HTTP 验证的域
<a name="http-renewal-validation"></a>

ACM 为最初通过 CloudFront HTTP 验证颁发的证书提供自动托管续订。

在到期前 45 天，ACM 会检查以下续订标准：

**注意**  
之前签发的有效期为 395 天的证书将在到期前 60 天续期，续订有效期为 198 天。有效期为 198 天的证书将在到期前 45 天续期。
+ 该证书目前正由使用 CloudFront。
+ 所有必需的 HTTP 验证记录均可访问并包含预期内容。

如果满足这些条件，ACM 将认为域名已通过验证并续订证书。

如果 ACM 在续订期间无法自动验证域名，则会发送 AWS Health EventBridge 事件和 Amazon 事件。这些事件在到期前 30 天、15 天、7 天、3 天和 1 天发送。有关更多信息，请参阅 [亚马逊对 ACM 的 EventBridge 支持](supported-events.md)。

为确保成功续订，请确保 `RedirectFrom` 位置的内容与证书中每个域的 `RedirectTo` 位置的内容相匹配。