本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對受管憑證續約進行故障診斷
<a name="troubleshooting-renewal"></a>

ACM 會在 ACM 憑證過期之前嘗試自動續約，您無須執行任何動作。如果您有 [中的受管憑證續約 AWS Certificate Manager](managed-renewal.md) 的相關問題，請參閱下列主題。

## 準備自動網域驗證
<a name="troubleshooting-renewal-domain-validation"></a>

必須符合下列條件，ACM 才可以自動續約您的憑證：
+ 您的憑證必須與與 ACM 整合的 AWS 服務相關聯。如需有關 ACM 支援的資源的資訊，請參閱 [與 ACM 整合的服務](acm-services.md)。
+ 對於電子郵件驗證的憑證，ACM 必須能透過憑證中列出之每個網域的管理員電子郵件地址來聯繫您。系統將嘗試的電子郵件地址會列於 [AWS Certificate Manager 電子郵件驗證](email-validation.md) 中。
+ 對於 DNS 驗證的憑證，請確定您的 DNS 組態包含正確的 CNAME 記錄，如 [AWS Certificate Manager DNS 驗證DNS 驗證](dns-validation.md) 中所述。
+ 對於 HTTP 驗證的憑證，請確定您的重新導向已如中所述進行設定[AWS Certificate Manager HTTP 驗證](http-validation.md)。

## 受管憑證續約處理失敗
<a name="troubleshooting-automatic-renewal"></a>

由於憑證即將過期 (DNS 為 45 天，EMAIL 為 45 天，Private 為 60 天），ACM 會在符合[資格條件](managed-renewal.md)時嘗試續約憑證。您可能必須採取行動才能成功續約。如需詳細資訊，請參閱[中的受管憑證續約 AWS Certificate Manager](managed-renewal.md)。

## 經電子郵件驗證之憑證的受管憑證續約
<a name="troubleshooting-renewal-email-validation-failure"></a>

ACM 憑證的有效期為 198 天。續約憑證需要網域擁有者執行動作。ACM 會在過期前 45 天開始將續約通知傳送至與網域相關聯的電子郵件地址。通知包含網域擁有者可以按一下以進行續約的連結。驗證所有列出的網域後，ACM 會發行具有相同 ARN 的續約憑證。

請參閱[使用電子郵件驗證](email-validation.md)取得指引，了解如何識別哪些網域處於 `PENDING_VALIDATION` 狀態，並針對這些網域重複執行驗證程序。

## 經 DNS 驗證之憑證的受管憑證續約
<a name="troubleshooting-renewal-domain-validation-failure"></a>

ACM 不會嘗試對經 DNS 驗證的憑證進行 TLS 驗證。如果 ACM 無法將您之前透過 DNS 驗證的憑證續約，最有可能的原因是 DNS 組態中的 CNAME 記錄遺失或不準確。如果發生這種情況，ACM 會通知您可能無法自動續約憑證。

**重要**  
您必須將正確的 CNAME 記錄插入您的 DNS 資料庫。操作方式請洽詢您的網域註冊商。

您可以在 ACM 主控台中展開您的憑證及其網域項目，尋找您網域的 CNAME 記錄。如需詳細資訊，請參閱下圖。若要擷取 CNAME 記錄，您也可以在 ACM API 中使用 [DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html) 作業，或在 ACM CLI 中使用 [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) 命令。如需詳細資訊，請參閱[AWS Certificate Manager DNS 驗證DNS 驗證](dns-validation.md)。

![\[請從主控台選取目標憑證。\]](http://docs.aws.amazon.com/zh_tw/acm/latest/userguide/images/Dns-renewal-1.png)


![\[展開憑證視窗，以尋找憑證的 CNAME 資訊。\]](http://docs.aws.amazon.com/zh_tw/acm/latest/userguide/images/Dns-renewal-2.png)


如果問題仍存在，請聯絡[支援中心](https://console.aws.amazon.com/support)。

## HTTP 驗證憑證的受管憑證續約
<a name="troubleshooting-renewal-http-validation-failure"></a>

ACM 會嘗試自動續約 HTTP 驗證的憑證。如果續約失敗，可能是因為 HTTP 驗證記錄發生問題。在這種情況下，ACM 會通知您憑證無法自動續約。

**重要**  
您必須確保`RedirectFrom`位置的內容與憑證中每個網域`RedirectTo`位置的內容相符。

您可以在 ACM 主控台中擴展憑證及其網域項目，以尋找網域的 HTTP 驗證資訊。您也可以使用 ACM API 中的 [DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html) 操作或 ACM CLI 中的 [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) 命令來擷取此資訊。如需詳細資訊，請參閱[AWS Certificate Manager HTTP 驗證](http-validation.md)。

如果問題仍存在，請聯絡[支援中心](https://console.aws.amazon.com/support)。

## 了解續約時機
<a name="troubleshooting-renewal-domain-async"></a>

[中的受管憑證續約 AWS Certificate Manager](managed-renewal.md) 是非同步的程序。這表示步驟不會緊接著連續發生。驗證 ACM 憑證中的所有網域名稱後，ACM 取得新憑證的過程可能會發生延遲。ACM 取得續約後的憑證到將憑證部署至使用該憑證的 AWS 資源期間，可能還會發生延遲。因此，憑證狀態的變更可能需要數小時才會在主控台顯示。