本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 排查托管式证书续订的问题
<a name="troubleshooting-renewal"></a>

ACM 在到期前会尝试自动续订 ACM 证书，以便您无需执行任何操作。如果对[中的托管证书续订 AWS Certificate Manager](managed-renewal.md)有任何疑问，请参阅以下主题。

## 准备进行自动域验证
<a name="troubleshooting-renewal-domain-validation"></a>

要让 ACM 自动续订您的证书，必须满足以下条件：
+ 您的证书必须与与 ACM 集成的 AWS 服务相关联。有关 ACM 支持的资源的信息，请参阅 [与 ACM 集成的服务](acm-services.md)。
+ 对于使用电子邮件验证的证书，ACM 必须能够通过证书中所列每个域的管理员电子邮件地址与您联系。将尝试的电子邮件地址列在[AWS Certificate Manager 电子邮件验证](email-validation.md)中。
+ 对于使用 DNS 验证的证书，请确保您的 DNS 配置包含正确的 CNAME 记录，如 [AWS Certificate Manager 域名系统验证DNS 验证](dns-validation.md) 中所述。
+ 对于使用 HTTP 验证的证书，请确保按照 [AWS Certificate Manager HTTP 验证](http-validation.md) 中所述配置您的重定向。

## 处理托管证书续订失败
<a name="troubleshooting-automatic-renewal"></a>

当证书接近到期时（DNS 为 45 天，电子邮件为 45 天，私有证书为 60 天），如果证书符合[资格标准](managed-renewal.md)，ACM 会尝试续订证书。您可能需要执行相关操作才能成功续订。有关更多信息，请参阅 [中的托管证书续订 AWS Certificate Manager](managed-renewal.md)。

## 针对电子邮件验证证书的托管证书续订
<a name="troubleshooting-renewal-email-validation-failure"></a>

ACM 证书的有效期为 198 天。续订证书需要域所有者执行操作。ACM 会在证书到期前 45 天开始向与该域关联的电子邮件地址发送续订通知。该通知会包含一个链接，域所有者可以单击该链接进行续订。验证所有列出的域后，ACM 会颁发具有相同 ARN 的续订证书。

请参阅[使用电子邮件验证](email-validation.md)，了解有关识别哪些域处于 `PENDING_VALIDATION` 状态并重复这些域的验证过程的说明。

## 针对 DNS 验证证书的托管证书续订
<a name="troubleshooting-renewal-domain-validation-failure"></a>

ACM 不会尝试对 DNS 验证的证书进行 TLS 验证。如果 ACM 无法续订您通过 DNS 验证来验证的证书，则很可能是由于 DNS 配置中缺少别名记录或别名记录不准确。如果发生这种情况，ACM 会通知您无法自动续订证书。

**重要**  
您必须将正确的 CNAME 记录插入到 DNS 数据库中。请咨询您的域名注册商以了解如何执行此操作。

您可以通过在 ACM 控制台中展开证书及其域条目，找到域的 CNAME 记录。有关详细信息，请参考下面的图。您还可以使用 ACM API 中的[DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)操作或 ACM CLI 中的 desc [ribe-](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) certificate 命令来检索 CNAME 记录。有关更多信息，请参阅 [AWS Certificate Manager 域名系统验证DNS 验证](dns-validation.md)。

![\[从控制台中选择目标证书。\]](http://docs.aws.amazon.com/zh_cn/acm/latest/userguide/images/Dns-renewal-1.png)


![\[展开证书窗口以查找证书的 CNAME 信息。\]](http://docs.aws.amazon.com/zh_cn/acm/latest/userguide/images/Dns-renewal-2.png)


如果问题依旧存在，请联系[支持中心](https://console.aws.amazon.com/support)。

## 针对 HTTP 验证证书的托管证书续订
<a name="troubleshooting-renewal-http-validation-failure"></a>

ACM 会尝试自动续订 HTTP 验证的证书。如果续订失败，则可能是由于 HTTP 验证记录存在问题。如果发生这种情况，ACM 会通知您无法自动续订证书。

**重要**  
您必须确保 `RedirectFrom` 位置的内容与证书中每个域的 `RedirectTo` 位置的内容相匹配。

您可以通过在 ACM 控制台中展开证书及其域条目，找到域的 HTTP 验证信息。您也可以使用 ACM API 中的[DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)操作或 ACM CLI 中的 desc [ribe-](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) certificate 命令来检索此信息。有关更多信息，请参阅 [AWS Certificate Manager HTTP 验证](http-validation.md)。

如果问题依旧存在，请联系[支持中心](https://console.aws.amazon.com/support)。

## 了解续订计时
<a name="troubleshooting-renewal-domain-async"></a>

[中的托管证书续订 AWS Certificate Manager](managed-renewal.md)是一个异步过程。这意味着这些步骤不会立即连续发生。在验证 ACM 证书中的所有域名后，在 ACM 获取新证书之前可能会有延迟。ACM 获取续订的证书的时间与将证书部署到使用它的 AWS 资源的时间之间可能出现额外延迟。因此，对证书状态的更改可能需要数小时才能显示在控制台中。