Häufig gestellte Fragen zum AWS Certificate Manager

Allgemeines

AWS Certificate Manager (ACM) ist ein Service, mit dem Sie problemlos öffentliche und private Secure Sockets Layer/Transport Layer Security (SSL/TLS)-Zertifikate zur Verwendung mit AWS-Services und Ihren internen verbundenen Ressourcen bereitstellen und verwalten können. SSL/TLS-Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites im Internet sowie von Ressourcen in privaten Netzwerken nachzuweisen. ACM macht den zeitaufwändigen manuellen Prozess des Kaufens, Hochladens und Erneuerns von SSL-/TLS-Zertifikaten überflüssig. Mit AWS Certificate Manager können Sie ein Zertifikat schnell anfordern, es auf AWS-Ressourcen wie Elastic Load Balancers, Amazon-CloudFront-Verteilungen oder APIs auf API Gateway bereitstellen und AWS Certificate Manager das Durchführen von Zertifikatserneuerungen überlassen. Mit AWS Certificate Manager können Sie auch private Zertifikate für Ihre internen Ressourcen erstellen und den Lebenszyklus der Zertifikate zentral verwalten. Öffentliche und private SSL/TLS-Zertifikate, die über AWS Certificate Manager bereitgestellt und ausschließlich mit ACM-integrierten Services, wie etwa Elastic Load Balancing, Amazon CloudFront und Amazon API Gateway, genutzt werden, sind kostenlos. Sie zahlen für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen. Sie zahlen eine monatliche Gebühr für den Betrieb jeder privaten CA, bis Sie sie löschen, und für die von Ihnen ausgestellten privaten Zertifikate, die nicht ausschließlich für die in ACM integrierten Services verwendet werden.

SSL-/TLS-Zertifikate ermöglichen Webbrowsern das Identifizieren und Einrichten verschlüsselter Netzwerkverbindungen zu Websites mithilfe des SSL-/TLS-Protokolls (Secure Sockets Layer/Transport Layer Security). Zertifikate werden innerhalb eines kryptografischen Systems verwendet, das als PKI (Public Key Infrastructure, Infrastruktur mit öffentlichen Schlüsseln) bezeichnet wird. Mit PKI kann eine Partei die Identität einer weiteren Partei mit Zertifikaten nachweisen, wenn beide einer dritten Partei, die als Zertifikatsstelle bezeichnet wird, vertrauen. Das Thema Konzepte im ACM-Benutzerhandbuch bietet zusätzliche Hintergrundinformationen und Definitionen.

Private Zertifikate dienen der Identifizierung von Ressourcen innerhalb einer Organisation, z. B. von Anwendungen, Diensten, Geräten und Benutzern. Beim Einrichten eines sicheren, verschlüsselten Kanals verwendet jeder Endpunkt ein Zertifikat und kryptografische Methoden, um dem anderen Endpunkt seine Identität nachzuweisen. Interne API-Endpunkte, Webserver, VPN-Benutzer, IoT-Geräte und viele andere Anwendungen nutzen private Zertifikate für die Einrichtung von verschlüsselten Kommunikationskanälen, die für deren sicheren Betrieb erforderlich sind.

Kunden können mithilfe von sowohl öffentlichen als auch privaten Zertifikaten Ressourcen in Netzwerken identifizieren und die Kommunikation zwischen diesen Ressourcen sichern. Öffentliche Zertifikate identifizieren Ressourcen im öffentlichen Internet, während private Zertifikate dieselbe Aufgabe für private Netzwerke erfüllen. Ein wichtiger Unterschied ist, dass Anwendungen und Browser öffentlichen Zertifikaten automatisch und standardmäßig vertrauen, wohingegen ein Administrator Anwendungen ausdrücklich konfigurieren muss, damit diese auch privaten Zertifikaten vertrauen. Öffentliche CAs, d. h. jene Einrichtungen, die öffentliche Zertifikate ausstellen, müssen strengen Richtlinien folgen, ihre Abläufe transparent gestalten und die Sicherheitsstandards erfüllen, die von den Anbietern der Browser und Betriebssysteme auferlegt werden. Denn die Anbieter entscheiden, welchen Zertifizierungsstellen ihre Browser und Betriebssysteme automatisch vertrauen. Private CAs werden von privaten Organisationen verwaltet, und private CA-Administratoren können ihre eigenen Richtlinien für die Ausstellung privater Zertifikate festlegen. Dazu gehören auch die Verfahren für das Ausstellen von Zertifikaten und die Informationen, die ein Zertifikat enthalten kann. 

ACM vereinfacht das Aktivieren von SSL/TLS für eine Website oder Anwendung auf der AWS-Plattform. ACM macht viele der Prozesse unnötig, die zuvor für und dem Verwalten von SSL-/TLS-Zertifikaten erforderlich waren. ACM kann auch dazu beitragen, Ausfallzeiten aufgrund von falsch konfigurierten, widerrufenen oder abgelaufenen Zertifikaten durch Verwalten von Erneuerungen zu vermeiden. Sie erhalten SSL-/TLS-Schutz und eine einfache Zertifikatsverwaltung. Durch das Aktivieren von SSL/TLS für im Internet zugängliche Seiten kann die Position Ihrer Website in Suchergebnissen verbessert und das Einhalten von regulatorischen Compliance-Anforderungen für das Verschlüsseln von übertragenen Daten vereinfacht werden.

Wenn Sie ACM zur Verwaltung von Zertifikaten verwenden, werden private Schlüssel sicher geschützt und mit zuverlässigen und bewährten Methoden zur Verschlüsselung und Schlüsselverwaltung gespeichert. Mit ACM können Sie die AWS-Managementkonsole, AWS CLI oder ACM-APIs verwenden, um alle SSL/TLS-Zertifikate von ACM in einer AWS-Region zentral zu verwalten. ACM ist in andere AWS-Services integriert, sodass Sie ein SSL-/TLS-Zertifikat anfordern und mit Elastic Load Balancing oder Ihrer Amazon CloudFront-Verteilung aus der AWS-Managementkonsole, durch AWS-CLI-Befehle oder durch API-Aufrufe bereitstellen können.

Mit ACM können Sie den Lebenszyklus Ihrer öffentlichen und privaten Zertifikate verwalten. Die Funktionen von ACM hängen davon ab, ob das Zertifikat öffentlich oder privat ist, wie Sie das Zertifikat abrufen und wo Sie es bereitstellen.

Öffentliche Zertifikate – Sie können in ACM von Amazon ausgestellte öffentliche Zertifikate anfordern. ACM verwaltet die Erneuerung und Bereitstellung von öffentlichen Zertifikaten, die mit ACM-integrierten Services verwendet werden, u. a. Amazon CloudFront, Elastic Load Balancing und Amazon API Gateway.

Private Zertifikate – Sie können festlegen, dass die Verwaltung von privaten Zertifikaten auf ACM übertragen wird. Bei Verwendung dieser Option kann ACM private Zertifikate, die mit ACM-integrierten Services wie etwa Amazon CloudFront, Elastic Load Balancing und Amazon API Gateway genutzt werden, automatisch erneuern und bereitstellen. Sie können diese privaten Zertifikate einfach mit der AWS-Managementkonsole, den APIs und der Befehlszeilenschnittstelle (CLI) bereitstellen. Sie können private Zertifikate aus ACM exportieren und diese mit EC2-Instances, Containern, On-Premises-Servern und IoT-Geräten verwenden. AWS Private CA erneuert diese Zertifikate automatisch und versendet eine Amazon-CloudWatch-Benachrichtigung, wenn die Erneuerung abgeschlossen ist. Sie können einen clientseitigen Code schreiben, um erneuerte Zertifikate und private Schlüssel herunterzuladen und diese mit Ihrer Anwendung bereitzustellen.

Importierte Zertifikate – Wenn Sie das Zertifikat eines Drittanbieters mit Amazon CloudFront, Elastic Load Balancing oder Amazon API Gateway verwenden möchten, können Sie dieses mithilfe der AWS-Managementkonsole, AWS-CLI oder mit ACM-APIs importieren. ACM kann importierte Zertifikate nicht erneuern, aber es kann Sie bei der Verwaltung des Erneuerungsprozesses unterstützen. Sie sind verantwortlich für die Überwachung des Ablaufdatums Ihrer importierten Zertifikate und für die Erneuerung vor deren Ablauf. Sie können ACM-CloudWatch-Metriken für die Überwachung des Ablaufdatums eines importierten Zertifikats verwenden und ein neues Zertifikat eines Dritten importieren, um das abgelaufene zu ersetzen.

Navigieren Sie für erste Schritte mit ACM zu Certificate Manager in der AWS-Managementkonsole und verwenden Sie den Assistenten zum Anfordern eines SSL/TLS-Zertifikats. Wenn Sie bereits eine Private CA erstellt haben, können Sie festlegen, ob Sie ein öffentliches oder privates Zertifikat haben möchten, und können dann den Namen Ihrer Website eingeben. Sie können ein Zertifikat auch mit der AWS-CLI oder -API anfordern. Nachdem das Zertifikat ausgestellt wurde, können Sie es mit anderen AWS-Services, die in ACM integriert sind, verwenden. Für jeden integrierten Service wählen Sie einfach das gewünschte SSL-/TLS-Zertifikat aus einer Dropdown-Liste in der AWS-Managementkonsole aus. Sie können auch einen AWS-CLI-Befehl ausführen oder eine AWS-API aufrufen, um das Zertifikat Ihrer Ressource zuzuordnen. Der integrierte Service stellt das Zertifikat dann der ausgewählten Ressource bereit.  Weitere Informationen über das Anfordern und die Nutzung der von ACM bereitgestellten Zertifikate finden Sie im ACM-Benutzerhandbuch. Zusätzlich zur Verwendung von privaten Zertifikaten mit ACM-integrierten Services können Sie private Zertifikate auch auf EC2-Instances, auf ECS-Containern oder mit anderen beliebigen Anwendungen verwenden.

• Elastic Load Balancing – Informationen finden Sie in der Dokumentation zu Elastic Load Balancing
• Amazon CloudFront – Informationen finden Sie in der Dokumentation zu CloudFront
• Amazon API Gateway – Informationen finden Sie in der Dokumentation zu API Gateway
• AWS CloudFormation – Support ist derzeit auf von ACM ausgestellte öffentliche und private Zertifikate beschränkt. Weitere Informationen finden Sie in der Dokumentation zu AWS CloudFormation
• AWS Elastic Beanstalk – Informationen finden Sie in der Dokumentation zu AWS Elastic Beanstalk
• AWS Nitro Enclaves – Informationen finden Sie in der Dokumentation zu AWS Nitro Enclaves

Informationen zu den aktuell für AWS-Services verfügbaren Regionen finden Sie auf den Seiten zu AWS Global Infrastructure. Um ein ACM-Zertifikat mit Amazon CloudFront zu verwenden, müssen Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern oder importieren. ACM-Zertifikate in dieser Region, die einer CloudFront-Verteilung zugeordnet sind, werden an alle für diese Verteilung konfigurierten geografischen Standorte verteilt.

ACM-Zertifikate

ACM verwaltet öffentliche, private und importierte Zertifikate. Erfahren Sie mehr über ACM-Funktionen unter Ausstellen und Verwalten von Zertifikaten.

Ja. Jedes Zertifikat muss mindestens einen Domain-Namen enthalten, und Sie können einem Zertifikat ggf. weitere Namen hinzufügen. Sie können einem Zertifikat für „www.example.com“ beispielsweise den Namen „www.example.net“ hinzufügen, wenn Benutzer Ihre Website über beide Namen erreichen können. Sie müssen alle in der Zertifikatsanforderung enthaltenen Namen besitzen oder kontrollieren. 

Ein Platzhalter-Domain-Name entspricht jeder untergeordneten Domain der ersten Ebene oder jedem Hostnamen in einer Domain. Eine untergeordnete Domain der ersten Ebene ist eine einzelne Bezeichnung für einen Domain-Namen, die keinen Punkt (.) enthält. Sie können zum Beispiel den Namen *.example.com verwenden, um www.example.com, images.example.com und alle anderen Hostnamen oder untergeordneten Domänen der ersten Ebene, die auf .example.com enden, zu schützen. Weitere Informationen finden Sie im ACM-Benutzerhandbuch.

Ja.

Nein.

Nein.

Nein.

Zertifikate, die über ACM ausgestellt werden, sind 13 Monate (395 Tage) lang gültig. Wenn Sie private Zertifikate direkt von einer Private CA ausstellen und die Schlüssel und Zertifikate ohne die Verwendung von ACM zur Zertifikatverwaltung selbst verwalten, können Sie einen beliebigen Gültigkeitszeitraum wählen, z. B. ein definitives Enddatum oder einen relativen Zeitraum wie etwa Tage, Monate oder Jahre ab dem aktuellen Zeitpunkt.

In ACM ausgestellte Zertifikate verwenden RSA-Schlüssel mit einem 2048-Bit-Modul und SHA-256. Zusätzlich können Sie Elliptic Curve Digital Signature Algorithm (ECDSA)-Zertifikate mit P-256 oder P-384 anfordern. Erfahren Sie mehr über Algorithmen im ACM-Benutzerhandbuch.

Sie können den Widerruf eines öffentlichen Zertifikats von ACM anfordern, indem Sie das AWS Support Center besuchen und einen Fall erstellen. Weitere Informationen zum Widerruf eines privaten Zertifikats, das von Ihrer AWS Private CA ausgestellt wurde, finden Sie im Benutzerhandbuch für AWS Private CA.

Nein. ACM-Zertifikate müssen in der selben Region sein, in der sich die genutzten Ressourcen befinden. Die einzige Ausnahme ist Amazon CloudFront, ein globaler Service, der Zertifikate in der Region USA Ost (Nord-Virginia) erfordert. ACM-Zertifikate in dieser Region, die einer CloudFront-Verteilung zugeordnet sind, werden an alle für diese Verteilung konfigurierten geografischen Standorte verteilt.

Ja.

Sie können private Zertifikate verwenden, die mit Private CA mit EC2-Instances, Containern und auf Ihren eigenen Servern ausgestellt wurden. Derzeit können öffentliche ACM-Zertifikate nur mit bestimmten AWS-Services verwendet werden einschließlich AWS Nitro Enclaves. Weitere Informationen finden Sie unter ACM-Service-Integrationen.

ACM lässt keine mit Unicode codierte Zeichen lokaler Sprachen zu. ACM lässt aber mit ASCII codierte Zeichen lokaler Sprachen für Domain-Namen zu.

ACM lässt nur mit UTF-8 codierte ASCII-Zeichen zu, auch Bezeichnungen mit „xn–“, die häufig als Punycode für Domain-Namen bezeichnet werden. ACM akzeptiert keine Unicode-Eingabe (u-labels) für Domain-Names.

Ja. Wenn Sie das Zertifikat eines Drittanbieters mit Amazon CloudFront, Elastic Load Balancing oder Amazon API Gateway verwenden möchten, können Sie dieses mithilfe der AWS-Managementkonsole, AWS-CLI oder ACM-APIs importieren. ACM verwaltet den Erneuerungsprozess für importierte Zertifikate nicht. Sie können die AWS-Managementkonsole für die Überwachung des Ablaufdatums eines importierten Zertifikats verwenden und ein neues Zertifikat eines Dritten importieren, um das abgelaufene zu ersetzen.

Öffentliche ACM-Zertifikate

Kunden können mithilfe von sowohl öffentlichen als auch privaten Zertifikaten Ressourcen in Netzwerken identifizieren und die Kommunikation zwischen diesen Ressourcen sichern. Öffentliche Zertifikate identifizieren Ressourcen im Internet.

ACM stellt öffentliche DV-Zertifikate (Domain Validated, Domain-validiert) zur Verwendung mit Websites und Anwendungen bereit, die SSL/TLS beenden. Weitere Informationen zu ACM-Zertifikaten finden Sie unter Merkmale von Zertifikaten.

Öffentliche ACM-Zertifikate sind für die meisten modernen Browser, Betriebssysteme und mobilen Geräte vertrauenswürdig. Von ACM bereitgestellte Zertifikate sind in 99 % aller Browser und Betriebssysteme nutzbar, darunter auch Windows XP SP3 sowie Java 6 und neuer.

Browser, die ACM-Zertifikaten vertrauen, zeigen ein Schloss-Symbol an und geben keine Zertifikatswarnungen aus, wenn sie Verbindungen zu Websites herstellen, die ACM-Zertifikate über SSL/TLS verwenden, z. B. bei Verwendung von HTTPS.

Öffentliche ACM-Zertifikate werden von der Zertifizierungsstelle (CA) von Amazon überprüft. Jeder Browser, jede Anwendung oder jedes Betriebssystem, das Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority – G2 enthält, vertraut ACM-Zertifikaten. Weitere Informationen zu Root-CAs finden Sie im Amazon Trust Services Repository.

Nein.

Sie finden die Erläuterungen in den Dokumenten Amazon Trust Services Certificate Policies und Amazon Trust Services Certification Practices. Die aktuellen Versionen finden Sie im Amazon Trust Services Repository.

Nein. Wenn Sie möchten, dass durch beide Domain-Namen (www.example.com und example.com) auf Ihre Website verwiesen wird, müssen Sie ein Zertifikat anfordern, das beide Namen enthält.

Mit ACM können Sie gesetzliche Anforderungen leichter einhalten, da Sie problemlos sichere Verbindungen herstellen können – eine häufige Voraussetzung vieler Compliance-Programme wie PCI, FedRAMP und HIPAA. Spezielle Informationen zur Compliance finden Sie unter http://aws.amazon.com/compliance.

Nein, ACM hat kein SLA.

Nein. Wenn Sie ein Website-Siegel verwenden möchten, erhalten Sie eins von einem Drittanbieter. Wir empfehlen die Auswahl eines Anbieters, der die Sicherheit Ihrer Website, Ihrer Geschäftsmethoden oder beides bewertet und analysiert.

Nein. Siegel und Abzeichen dieses Typs können auf Websites kopiert werden, die den ACM-Service nicht verwenden und unrechtmäßig einsetzen, um Vertrauen unter falschen Voraussetzungen zu schaffen. Zum Schutz unserer Kunden und des Rufes von Amazon lassen wir die Verwendung unseres Logos auf diese Weise nicht zu.

Bereitstellung von öffentlichen Zertifikaten

Sie können die AWS-Managementkonsole, AWS-CLI oder ACM-APIs/-SDKs verwenden. Navigieren Sie zur Verwendung der AWS-Managementkonsole zum Certificate Manager, wählen Sie Zertifikat anfordern aus, wählen Sie Öffentliches Zertifikat anfordern aus, geben Sie den Domain-Namen für Ihre Website ein und folgen Sie dann den Anweisungen auf dem Bildschirm, um Ihre Anforderung abzuschließen. Sie können Ihrer Anforderung zusätzliche Domain-Namen hinzufügen, wenn Benutzer Ihre Website über andere Namen erreichen können. Bevor ACM ein Zertifikat ausstellen kann, validiert es, ob Sie die Domain-Namen in Ihrer Zertifikatsanforderung besitzen oder kontrollieren. Sie können bei der Anforderung eines Zertifikats zwischen einer DNS-Validierung und einer E-Mail-Validierung wählen. Bei der DNS-Validierung schreiben Sie einen Datensatz in die öffentliche DNS-Konfiguration für Ihre Domain, um anzugeben, dass Sie die Domain besitzen oder kontrollieren. Nachdem Sie die DNS-Validierung zum Herstellen der Kontrolle über Ihre Domain verwendet haben, können Sie weitere Zertifikate erhalten und ACM bestehende Zertifikate für die Domain erneuern lassen, solange der Datensatz erhalten bleibt und das Zertifikat genutzt wird. Sie brauchen die Kontrolle über die Domain nicht erneut zu validieren. Wenn Sie die E-Mail-Validierung anstelle der DNS-Validierung wählen, werden E-Mails an den Domain-Besitzer gesendet, um eine Genehmigung zur Ausstellung des Zertifikats anzufordern. Nachdem Sie den Besitz oder die Kontrolle der einzelnen Domain-Namen in Ihrer Anforderung validiert haben, wird das Zertifikat ausgestellt und kann mit anderen AWS-Services, zum Beispiel Elastic Load Balancing oder Amazon CloudFront, bereitgestellt werden. Weitere Informationen finden Sie in der ACM-Dokumentation.

Zertifikate werden verwendet, um die Identität Ihrer Website nachzuweisen und die Verbindung zwischen Browsern und Anwendungen und Ihrer Website zu sichern. Zum Ausstellen eines öffentlichen vertrauenswürdigen Zertifikats muss Amazon bestätigen, dass der Anforderer des Zertifikats die Kontrolle über den Domain-Namen in der Zertifikatsanforderung besitzt.

Vor der Ausstellung eines Zertifikats validiert ACM, ob Sie die Domain-Namen in Ihrer Zertifikatsanforderung besitzen oder kontrollieren. Sie können bei der Anforderung eines Zertifikats zwischen einer DNS-Validierung und einer E-Mail-Validierung wählen. Bei einer DNS-Validierung können Sie den Domain-Besitz validieren, indem Sie einen CNAME-Datensatz zu Ihrer DNS-Konfiguration hinzufügen. Weitere Informationen finden Sie unter DNS-Validierung. Wenn Sie keine Datensätze in die öffentliche DNS-Konfiguration für Ihre Domain schreiben können, können Sie eine E-Mail-Validierung anstelle der DNS-Validierung verwenden. Bei der E-Mail-Validierung sendet ACM E-Mails an den registrierten Domain-Besitzer; der Besitzer bzw. ein autorisierter Vertreter kann die Ausstellung für jeden Domain-Namen in der Zertifikatsanforderung genehmigen. Weitere Informationen finden Sie unter E-Mail-Validierung.

Wir empfehlen die DNS-Validierung, wenn Sie die Möglichkeit haben, die DNS-Konfiguration für Ihre Domain zu ändern. Kunden, die keine Validierungs-E-Mails von ACM empfangen können, und Kunden, die einen Domain-Registrar verwenden, der keine E-Mail-Kontaktinformationen des Domain-Besitzers in WHOIS veröffentlicht, sollten die DNS-Validierung verwenden. Wenn Sie Ihre DNS-Konfiguration nicht ändern können, sollten Sie die E-Mail-Validierung verwenden.

Nein, Sie können aber ein neues, kostenloses Zertifikat von ACM anfordern und für das neue Zertifikat die DNS-Validierung wählen.

Nachdem alle Domain-Namen in einem Zertifikat validiert wurden, kann die Ausstellung eines Zertifikats mehrere Stunden oder länger dauern.

ACM versucht, den Besitz oder die Kontrolle jedes Domain-Namens in Ihrer Zertifikatsanforderung entsprechend der Validierungsmethode (DNS oder E-Mail) zu validieren, die Sie bei der Anforderung gewählt haben. Der Status der Zertifikatsanforderung ist ausstehende Validierung, während ACM zu validieren versucht, ob Sie die Domain besitzen oder kontrollieren. Weitere Informationen über den Validierungsprozess finden Sie nachfolgend in den Abschnitten DNS-Validierung und E-Mail-Validierung. Nachdem alle Domain-Namen in der Zertifikatsanforderung validiert wurden, kann die Ausstellung der Zertifikate mehrere Stunden oder länger dauern. Wenn das Zertifikat ausgestellt wurde, wird der Status der Zertifikatsanforderung in Issued geändert und Sie können es mit anderen AWS-Services nutzen, die in ACM integriert sind.

Ja. Mit DNS CAA-Datensätzen (Certificate Authority Authorization) können Domain-Besitzer angeben, welche Zertifikatsstellen zur Ausgabe von Zertifikaten für ihre Domain berechtigt sind. Wenn Sie ein ACM-Zertifikat anfordern, sucht AWS Certificate Manager nach einem CAA-Datensatz in der DNS-Zonenkonfiguration für Ihre Domain. Wenn kein CAA-Datensatz vorhanden ist, kann Amazon ein Zertifikat für Ihre Domain ausgeben. Die meisten Kunden gehören zu dieser Kategorie.

Wenn Ihre DNS-Konfiguration einen CAA-Datensatz enthält, muss der Datensatz eine der folgenden CAs angeben, bevor Amazon ein Zertifikat für Ihre Domain ausgeben kann: amazon.com, amazontrust.com, awstrust.com oder amazonaws.com. Weitere Informationen finden Sie unter Konfigurieren eines CAA-Datensatzes oder Fehlersuche bei CAA-Problemen im Benutzerhandbuch für AWS Certificate Manager.

Nein, derzeit nicht.

DNS-Validierung

Bei der DNS-Validierung können Sie eine Domain als Ihr Eigentum validieren, indem Sie einen CNAME-Datensatz zu Ihrer DNS-Konfiguration hinzufügen. Die DNS-Validierung macht Ihnen die Angabe leicht, dass Sie der Besitzer einer Domain sind, wenn Sie öffentliche SSL-/TLS-Zertifikate von ACM anfordern.

Die DNS-Validierung erleichtert Ihnen die Validierung, dass Sie eine Domain besitzen oder kontrollieren, sodass Sie ein SSL-/TLS-Zertifikat anfordern können. Bei der DNS-Validierung schreiben Sie lediglich einen CNAME-Datensatz in Ihre DNS-Konfiguration, um die Kontrolle über Ihren Domain-Namen zu erhalten. Um den DNS-Validierungsprozess zu vereinfachen, kann die ACM Management Console DNS-Datensätze für Sie konfigurieren, wenn Sie Ihre DNS-Datensätze mit Amazon Route 53 verwalten. Dadurch lässt sich die Kontrolle über Ihren Domain-Namen auf einfache Weise mit ein paar Mausklicks herstellen. Sobald der CNAME-Datensatz konfiguriert wurde, erneuert ACM automatisch die verwendeten Zertifikate (die mit anderen AWS-Ressourcen verknüpft sind), solange der DNS-Validierungsdatensatz erhalten bleibt. Erneuerungen erfolgen komplett automatisch und berührungslos.

Alle, die ein Zertifikat über ACM anfordern und die Möglichkeit haben, die DNS-Konfiguration für die angeforderte Domain zu ändern, sollten eine Verwendung der DNS-Validierung in Betracht ziehen.

Ja. ACM unterstützt weiterhin die E-Mail-Validierung für Kunden, die ihre DNS-Konfiguration nicht ändern können.

Sie müssen einen CNAME-Datensatz für die Domain hinzufügen, die Sie validieren möchten. Um zum Beispiel den Namen www.example.com zu validieren, fügen Sie einen CNAME-Datensatz zur Zone für example.com hinzu. Der von Ihnen hinzugefügte Datensatz enthält ein zufälliges Token, das ACM speziell für Ihre Domäne und Ihr AWS-Konto generiert. Sie können die beiden Teile des CNAME-Datensatzes (Name und Label) von ACM anfordern. Weitere Anweisungen finden Sie im ACM-Benutzerhandbuch.

Weitere Informationen zum Hinzufügen oder Ändern von DNS-Datensätzen erhalten Sie von Ihrem DNS-Anbieter. Die Dokumentation zu Amazon Route 53 DNS enthält weitere Informationen für Kunden, die Amazon Route 53 DNS nutzen.

Ja. Für Kunden, die DNS-Datensätze mit Amazon Route 53 DNS verwalten, kann die ACM-Konsole Datensätze zu Ihrer DNS-Konfiguration hinzufügen, wenn Sie ein Zertifikat anfordern. Ihre Route 53 DNS-gehostete Zone für Ihre Domain muss im gleichen AWS-Konto wie die dem konfiguriert sein, von dem Sie die Anforderung stellen. Außerdem müssen Sie über ausreichende Berechtigungen verfügen, um Ihre Amazon Route 53-Konfiguration ändern zu können. Weitere Anweisungen finden Sie im ACM-Benutzerhandbuch.

Nein. Sie können die DNS-Validierung mit jedem DNS-Anbieter nutzen, solange Ihnen der Anbieter das Hinzufügen eines CNAME-Datensatzes zu Ihrer DNS-Konfiguration erlaubt.

Eine. Sie können mit einem CNAME-Datensatz mehrere Zertifikate für ein und denselben Domain-Namen im selben AWS-Konto anfordern. Wenn Sie zum Beispiel zwei Zertifikatsanforderungen von demselben AWS-Konto für denselben Domain-Namen stellen, benötigen Sie nur einen DNS CNAME-Datensatz.

Nein. Jeder Domain-Name muss einen eindeutigen CNAME-Datensatz besitzen.

Ja.

DNS CNAME-Datensätze haben zwei Komponenten: einen Namen und ein Label. Die Namenskomponente eines von ACM generierten CNAME besteht aus einem Unterstrich (_), gefolgt von einem Token, bei dem es sich um eine eindeutige Zeichenfolge handelt, die mit Ihrem AWS-Konto und Ihrem Domain-Namen verknüpft ist. ACM stellt den Unterstrich und das Token vor Ihren Domain-Namen, um die Namenskomponente zu bilden. ACM erstellt das Label aus einem Unterstrich, der vor ein anderes Token gestellt wird. Dieses ist ebenfalls mit Ihrem AWS-Konto und Ihrem Domain-Namen verknüpft. ACM stellt den Unterstrich und das Token vor einen DNS-Domain-Namen, der von AWS für Validierungen verwendet wird: acm-validations.aws. Die folgenden Beispiele zeigen die Formatierung von CNAMEs für www.example.com, subdomain.example.com und *.example.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Beachten Sie, dass ACM das Platzhalterzeichen (*) beim Generieren von CNAME-Datensätzen für Platzhalternamen entfernt. Folglich ist der CNAME-Datensatz, den ACM für einen Platzhalternamen (z. B. *.example.com) generiert, der gleiche Datensatz, der für den Domain-Namen ohne das Platzhalterzeichen (example.com) zurückgegeben wird.

Nein. Jeder Domain-Name, einschließlich Hostnamen und Subdomain-Namen, müssen getrennt mit jeweils einem eindeutigen CNAME-Datensatz validiert werden.

Durch einen CNAME-Datensatz kann ACM Zertifikate erneuern, solange der CNAME-Datensatz vorhanden ist. Der CNAME-Datensatz leitet auf einen TXT-Datensatz in einer AWS-Domain (acm-validations.aws) weiter, die ACM nach Bedarf aktualisieren kann, um einen Domain-Namen zu validieren oder erneut zu validieren, ohne dass Sie Maßnahmen ergreifen müssen.

Ja. Sie können einen DNS CNAME-Datensatz erstellen und mit ihm Zertifikate im selben AWS-Konto in allen AWS-Regionen anfordern, in denen ACM angeboten wird. Wenn Sie den CNAME-Datensatz einmal konfigurieren, können Sie von ACM für diesen Namen Zertifikate ausstellen und erneuern lassen, ohne dass ein neuer Datensatz erstellt wird.

Nein. Jedes Zertifikat kann nur über eine Validierungsmethode verfügen.

ACM erneuert automatisch die verwendeten Zertifikate (die mit anderen AWS-Ressourcen verknüpft sind), solange der DNS-Validierungsdatensatz erhalten bleibt.

Ja. Entfernen Sie einfach den CNAME-Datensatz. ACM stellt keine Zertifikate für Ihre Domain mithilfe der DNS-Validierung aus bzw. erneuert die Zertifikate nicht, wenn Sie den CNAME-Datensatz entfernen und die Änderung über DNS verteilt wird. Die Verbreitungszeit zum Entfernen des Datensatzes hängt von Ihrem DNS-Anbieter ab.

ACM kann mithilfe der DNS-Validierung keine Zertifikate für Ihre Domain mehr ausstellen oder erneuern, wenn Sie den CNAME-Datensatz entfernen.

E-Mail-Validierung

Bei der E-Mail-Validierung wird für jeden Domain-Namen in der Zertifikatsanforderung eine E-Mail mit einer Genehmigungsanforderung an den registrierten Domain-Besitzer gesendet. Der Domain-Besitzer oder ein autorisierter Stellvertreter (der Genehmigende) kann die Zertifikatsanforderung durch Befolgen der Anweisungen in der E-Mail genehmigen. Die Anweisungen leiten den Genehmigenden zum Klicken auf den Link in der E-Mail oder zum Einfügen des Links aus der E-Mail in einen Browser weiter, um zur Genehmigungswebsite zu navigieren. Der Genehmigende überprüft die Informationen, die der Zertifikatsanforderung zugeordnet sind, z. B. Domain-Name, Zertifikats-ID (ARN) und die AWS-Konto-ID, die die Anforderung initiiert, und genehmigt die Anforderung, wenn die Informationen korrekt sind.

Wenn Sie ein Zertifikat mit der E-Mail-Validierung anfordern, wird eine WHOIS-Suche für jeden Domain-Namen in der Zertifikatsanforderung verwendet, um Kontaktinformationen für die Domain abzurufen. E-Mails werden an den Registrierer der Domain, an den Verwaltungskontakt und an den technischen Kontakt gesendet, die für die Domain aufgeführt sind. E-Mails werden außerdem an fünf Spezial-E-Mailadressen gesendet, die gebildet werden, indem admin@, administrator@, hostmaster@, webmaster@ und postmaster@ dem Domain-Namen vorangestellt werden, den Sie anfordern. Wenn Sie beispielsweise ein Zertifikat von server.example.com anfordern, wird eine E-Mail mit Kontaktinformationen, die von einer WHOIS-Abfrage für die Domain example.com zurückgegeben werden, an den Registrierer der Domain, an den technischen Kontakt und an den Verwaltungskontakt gesendet. Außerdem werden E-Mails an [email protected], [email protected], [email protected], [email protected] und [email protected] gesendet.

Die fünf speziellen E-Mail-Adressen sind für Domain-Namen, die mit „www“ oder Platzhalternamen beginnen, die wiederum mit einem Sternchen (*) anfangen, unterschiedlich konstruiert. ACM entfernt das „www“ bzw. das Sternchen vom Anfang, und eine E-Mail wird an die Verwaltungsadressen gesendet, die sich dadurch bilden, dass dem verbleibenden Teil des Domain-Namens admin@, administrator@, hostmaster@, postmaster@ oder webmaster@ vorangestellt wird. Wenn Sie beispielsweise ein Zertifikat für www.example.com, anfordern, wird eine E-Mail, wie zuvor beschrieben, an die WHOIS-Kontakte und an [email protected] anstatt an [email protected] gesendet. Die restlichen vier speziellen E-Mail-Adressen werden auf ähnliche Weise gebildet.

Nachdem Sie ein Zertifikat angefordert haben, können Sie die Liste der E-Mail-Adressen anzeigen, an die wir die E-Mail für die einzelnen Domains mit der ACM-Konsole, mit AWS-CLI oder -APIs gesendet haben.

Nein, aber Sie können den Namen der Basis-Domain konfigurieren, an den die Überprüfungs-E-Mail gesendet werden soll. Der Name der Basis-Domain muss eine übergeordnete Domain des Domain-Namens in der Zertifikatsanforderung sein. Wenn Sie beispielsweise ein Zertifikat für server.domain.example.com anfordern, aber die Genehmigungs-E-Mail an [email protected] weiterleiten möchten, können Sie dazu die AWS-CLI oder -API verwenden. Weitere Informationen finden Sie in der ACM-CLI-Referenz und in der ACM-API-Referenz.

Ja, allerdings kann sich die E-Mail-Zustellung aufgrund des Proxys verzögern. E-Mails, die über einen Proxy gesendet werden, finden Sie möglicherweise in Ihrem Spam-Ordner. Vorschläge zur Problemlösung finden Sie im ACM-Benutzerhandbuch.

Die Verfahrensweisen und Richtlinien für das Überprüfen der Identität des Domain-Besitzers sind sehr streng und werden vom CA-/Browser-Forum bestimmt, das Richtlinienstandards für öffentlich vertrauenswürdige Zertifikatsstellen festlegt. Weitere Informationen erhalten Sie im aktuellen Amazon Trust Services Certification Practices Statement im Amazon Trust Services Repository.

Vorschläge zur Problemlösung finden Sie im ACM-Benutzerhandbuch.

Schutz von privaten Schlüsseln

Für jedes von ACM bereitgestellte Zertifikat wird ein Schlüsselpaar erstellt. ACM wurde entwickelt, um die mit SSL/TLS-Zertifikaten verwendeten privaten Schlüssel zu schützen und zu verwalten. Beim Schützen und Speichern privater Schlüssel werden sichere und bewährte Verschlüsselungs- und Schlüsselverwaltungsmethoden verwendet.

Nein. Der private Schlüssel eines ACM-Zertifikats wird in der Region gespeichert, in der Sie das Zertifikat anfordern. Wenn Sie beispielsweise ein neues Zertifikat in der Region "US East (N. Virginia)" abrufen, speichert ACM den privaten Schlüssel in der Region "N. Virginia". ACM-Zertifikate werden nur regionsübergreifend kopiert, wenn das Zertifikat einer CloudFront-Verteilung zugeordnet ist. In diesem Fall verteilt CloudFront das ACM-Zertifikat an die geografischen Standorte, die für Ihre Verteilung konfiguriert wurden.

Verwaltete Erneuerung und Bereitstellung

Die verwaltete Erneuerung und Bereitstellung von ACM verwaltet den Prozess des Erneuerns von SSL-/TLS-Zertifikaten von ACM und das Bereitstellen von Zertifikaten nach der Erneuerung.

ACM kann die Erneuerung und Bereitstellung von SSL-/TLS-Zertifikaten für Sie verwalten. ACM sorgt für einen sichereren Ablauf des Konfigurierens und Verwaltens von SSL/TLS für einen sicheren Webservice oder ein Anwendung, als dies bei potenziell fehlerbehafteten manuellen Prozessen der Fall wäre. Die verwaltete Erneuerung und Bereitstellung von kann dazu beitragen, Ausfallzeiten aufgrund von abgelaufenen Zertifikaten zu vermeiden. ACM wird als ein in andere AWS-Services integrierter Service ausgeführt. Das bedeutet, dass Sie Zertifikate auf der AWS-Plattform zentral mithilfe der AWS Management Console, AWS-CLI oder -APIs verwalten und bereitstellen können. Mit Private CA können Sie private Zertifikate erstellen und diese exportieren. ACM erneuert exportierte Zertifikate, welche somit durch Ihren clientseitigen Code heruntergeladen und bereitgestellt werden können.

Öffentliche Zertifikate

ACM kann öffentliche ACM-Zertifikate ohne zusätzliche Validierung durch den Domain-Besitzer erneuern und bereitstellen. Wenn ein Zertifikat nicht ohne zusätzliche Validierung erneuert werden kann, verwaltet ACM den Erneuerungsprozess durch Validieren des Domain-Besitzes oder der Domain-Kontrolle für jeden Domain-Namen im Zertifikat. Nachdem alle Domain-Namen im Zertifikat validiert wurden, erneuert ACM das Zertifikat und stellt es automatisch mit Ihren AWS-Ressourcen bereit. Wenn ACM den Domain-Besitz nicht validieren kann, teilen wir Ihnen (dem AWS-Kontobesitzer) dies mit.

Wenn Sie die DNS-Validierung in Ihrer Zertifikatsanforderung gewählt haben, kann ACM Ihr Zertifikat ohne einen Eingriff Ihrerseits unbegrenzt erneuern, solange das Zertifikat genutzt wird (d. h. mit anderen AWS-Ressourcen verknüpft ist) und Ihr CNAME-Datensatz vorhanden ist. Wenn Sie bei der Zertifikatsanforderung die E-Mail-Validierung ausgewählt haben, können Sie die Fähigkeit von ACM, ACM-Zertifikate automatisch zu erneuern und bereitzustellen, verbessern. Stellen Sie dazu sicher, dass das Zertifikat genutzt wird, dass alle im Zertifikat enthaltenen Domain-Namen zu Ihrer Website aufgelöst werden können und dass alle Domain-Namen über das Internet erreichbar sind.

Private Zertifikate

ACM bietet zwei Möglichkeiten zur Verwaltung von privaten Zertifikaten, die mit AWS Private CA ausgestellt wurden. ACM bietet je nach Art der Verwaltung Ihrer privaten Zertifikate verschiedene Erneuerungs- und Bereitstellungsfunktionen. Für jedes private Zertifikat, das Sie ausstellen, können Sie die beste Verwaltungsoption auswählen.

1) ACM kann die Erneuerung und Bereitstellung von privaten Zertifikaten, die mit AWS Private CAs ausgestellt und mit ACM-integrierten Services wie etwa Elastic Load Balancing und API Gateway verwendet werden, vollständig automatisieren. ACM kann private Zertifikate, die durch ACM ausgestellt werden, erneuern und bereitstellen, solange die Private CA, die das Zertifikat ausgestellt hat, den Status „Active“ hat.
2) Bei privaten Zertifikaten, die Sie aus ACM zur Verwendung mit On-Premises-Ressourcen, EC2-Instances und IoT-Geräten exportieren, erneuert ACM Ihr Zertifikat automatisch. Sie sind verantwortlich für das Abrufen des neuen Zertifikats und des privaten Schlüssels und für deren Bereitstellung mit Ihrer Anwendung.

ACM beginnt den Erneuerungsprozess bis zu 60 Tage vor dem Ablaufdatum des Zertifikats. Der Gültigkeitszeitraum für ACM-Zertifikate beträgt derzeit 13 Monate (395 Tage). Weitere Informationen zur verwalteten Erneuerung finden Sie im ACM-Benutzerhandbuch.

Nein. ACM kann das Zertifikat ohne vorherige Ankündigung erneuern oder mit einem neuen Schlüssel versehen und das alte ersetzen.

Wenn Sie die DNS-Validierung in Ihrer Anforderung für ein öffentliches Zertifikat gewählt haben, kann ACM Ihr Zertifikat ohne weiteren Eingriff Ihrerseits erneuern, solange das Zertifikat genutzt wird (mit anderen AWS-Ressourcen verknüpft ist) und Ihr CNAME-Datensatz vorhanden ist.

Wenn Sie bei der Anforderung eines öffentlichen Zertifikats mit einer "bare Domain" die E-Mail-Validierung ausgewählt haben, stellen Sie sicher, dass eine DNS-Suche der "bare Domain" zu der AWS-Ressource aufgelöst wird, die mit dem Zertifikat verknüpft ist. Das Auflösen der "bare Domain" zu einer AWS-Ressource kann eine Herausforderung darstellen, sofern Sie nicht Route 53 oder einen anderen DNS-Anbieter verwenden, der Alias-Ressourcendatensätze (oder etwas Entsprechendes) für das Zuweisen von "bare Domains" zu AWS-Ressourcen unterstützt. Weitere Informationen erhalten Sie im Route 53 Developer Guide.

Nein, Verbindungen, die nach der Bereitstellung des neuen Zertifikats hergestellt werden, verwenden das neue Zertifikat. Bestehende Verbindungen bleiben davon unberührt

Ja.

Ja, aber Sie können auch die Verwendung von AWS Private CA zur Ausstellung von privaten Zertifikaten in Betracht ziehen, welche ACM ohne Validierung erneuern kann. Informationen zum Verarbeiten von Erneuerungen für öffentliche Zertifikate, die nicht aus dem öffentlichen Internet erreichbar sind, und von privaten Zertifikaten, finden Sie unter Verwaltete Erneuerung und Bereitstellung.

Protokollierung

Ja. Mithilfe von AWS CloudTrail können Sie Protokolle überprüfen, die Ihnen sagen, wann der private Schlüssel für das Zertifikat verwendet wurde.

Sie können identifizieren, welche Benutzer und Konten AWS-APIs für Services, die AWS CloudTrail unterstützen, aufgerufen haben, die Quell-IP-Adresse, von der die Aufrufe ausgingen, und wann die Aufrufe aufgetreten sind. Sie können beispielsweise identifizieren, welcher Benutzer einen API-Aufruf durchgeführt hat, um ein von ACM bereitgestelltes Zertifikat einem Elastic Load Balancer zuzuordnen, und wann der Elastic Load Balancing-Service den Schlüssel mit einem KMS-API-Aufruf entschlüsselt hat.

Fakturierung

Öffentliche und private Zertifikate, die über AWS Certificate Manager zur Verwendung mit ACM-integrierten Services wie etwa Elastic Load Balancing, Amazon CloudFront und Amazon API Gateway bereitgestellt wurden, sind kostenlos. Sie zahlen für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen. AWS Private CA hat nutzungsbasierte Preise; besuchen Sie die Preisseite für AWS Private CA für weitere Details und Beispiele.

AWS Private Certificate Authority

Bei Fragen zur Verwendung von AWS Private CA lesen Sie bitte die Häufig gestellten Fragen von AWS Private CA.