F: Was ist AWS Certificate Manager (ACM)?

AWS Certificate Manager ist ein Service, mit dem Sie problemlos öffentliche und private SSL- und TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security) zur Verwendung mit AWS-Services und Ihren internen verbundenen Ressourcen bereitstellen und verwalten können. SSL-/TLS-Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites im Internet sowie von Ressourcen in privaten Netzwerken nachzuweisen. AWS Certificate Manager macht den zeitaufwändigen manuellen Prozess des Kaufens, Hochladens und Erneuerns von SSL-/TLS-Zertifikaten überflüssig. Mit AWS Certificate Manager können Sie ein Zertifikat schnell anfordern, es auf AWS-Ressourcen wie Elastic Load Balancers, Amazon-CloudFront-Verteilungen oder APIs auf API Gateway bereitstellen und AWS Certificate Manager das Durchführen von Zertifikatserneuerungen überlassen. Mit AWS Certificate Manager können Sie auch private Zertifikate für Ihre internen Ressourcen erstellen und den Lebenszyklus der Zertifikate zentral verwalten. Öffentliche und private SSL-/TLS-Zertifikate, die über AWS Certificate Manager bereitgestellt und ausschließlich mit ACM-integrierten Services, wie etwa Elastic Load Balancing, Amazon CloudFront und Amazon API Gateway, genutzt werden, sind kostenlos. Sie zahlen für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen. Sie bezahlen eine Monatsgebühr für den Betrieb der einzelnen privaten Zertifizierungsstellen bis zu deren Löschung und für die von Ihnen ausgestellten privaten Zertifikate, die Sie nicht ausschließlich mit ACM-integrierten Services verwenden.

F: Was ist ein SSL-/TLS-Zertifikat?

SSL-/TLS-Zertifikate ermöglichen Webbrowsern das Identifizieren und Einrichten verschlüsselter Netzwerkverbindungen zu Websites mithilfe des SSL-/TLS-Protokolls (Secure Sockets Layer/Transport Layer Security). Zertifikate werden innerhalb eines kryptografischen Systems verwendet, das als PKI (Public Key Infrastructure, Infrastruktur mit öffentlichen Schlüsseln) bezeichnet wird. Mit PKI kann eine Partei die Identität einer weiteren Partei mit Zertifikaten nachweisen, wenn beide einer dritten Partei, die als Zertifikatsstelle bezeichnet wird, vertrauen. Das Thema Konzepte im ACM-Benutzerhandbuch bietet zusätzliche Hintergrundinformationen und Definitionen. 

F: Was sind private Zertifikate?

Private Zertifikate dienen der Identifizierung von Ressourcen innerhalb einer Organisation, z. B. von Anwendungen, Diensten, Geräten und Benutzern. Beim Einrichten eines sicheren, verschlüsselten Kanals verwendet jeder Endpunkt ein Zertifikat und kryptografische Methoden, um dem anderen Endpunkt seine Identität nachzuweisen. Interne API-Endpunkte, Webserver, VPN-Benutzer, IoT-Geräte und viele andere Anwendungen nutzen private Zertifikate für die Einrichtung von verschlüsselten Kommunikationskanälen, die für deren sicheren Betrieb erforderlich sind.

F: Was ist der Unterschied zwischen öffentlichen und privaten Zertifikaten?

Kunden können mithilfe von sowohl öffentlichen als auch privaten Zertifikaten Ressourcen in Netzwerken identifizieren und die Kommunikation zwischen diesen Ressourcen sichern. Öffentliche Zertifikate identifizieren Ressourcen im öffentlichen Internet, während private Zertifikate dieselbe Aufgabe für private Netzwerke erfüllen. Ein wichtiger Unterschied ist, dass Anwendungen und Browser öffentlichen Zertifikaten automatisch und standardmäßig vertrauen, wohingegen ein Administrator Anwendungen ausdrücklich konfigurieren muss, damit diese auch privaten Zertifikaten vertrauen. Öffentliche CAs, d. h. jene Einrichtungen, die öffentliche Zertifikate ausstellen, müssen strengen Richtlinien folgen, ihre Abläufe transparent gestalten und die Sicherheitsstandards erfüllen, die von den Anbietern der Browser und Betriebssysteme auferlegt werden. Denn die Anbieter entscheiden, welchen Zertifizierungsstellen ihre Browser und Betriebssysteme automatisch vertrauen. Private CAs werden von privaten Organisationen verwaltet, und private CA-Administratoren können ihre eigenen Richtlinien für die Ausstellung privater Zertifikate festlegen. Dazu gehören auch die Verfahren für das Ausstellen von Zertifikaten und die Informationen, die ein Zertifikat enthalten kann. Weitere Informationen über private Zertifikate und private CAs finden Sie nachfolgend unter ACM Private CA.

F: Was sind die Vorteile der Verwendung von AWS Certificate Manager (ACM) und ACM Private Certificate Authority (CA)?

ACM vereinfacht das Aktivieren von SSL/TLS für eine Website oder Anwendung auf der AWS-Plattform. ACM macht viele der Prozesse unnötig, die zuvor für und dem Verwalten von SSL-/TLS-Zertifikaten erforderlich waren. ACM kann auch dazu beitragen, Ausfallzeiten aufgrund von falsch konfigurierten, widerrufenen oder abgelaufenen Zertifikaten durch Verwalten von Erneuerungen zu vermeiden. Sie erhalten SSL-/TLS-Schutz und eine einfache Zertifikatsverwaltung. Durch das Aktivieren von SSL/TLS für im Internet zugängliche Seiten kann die Position Ihrer Website in Suchergebnissen verbessert und das Einhalten von regulatorischen Compliance-Anforderungen für das Verschlüsseln von übertragenen Daten vereinfacht werden.

Wenn Sie ACM zur Verwaltung von Zertifikaten verwenden, werden private Schlüssel sicher geschützt und mit zuverlässigen und bewährten Verschlüsselungs- und Schlüsselverwaltungsmethoden gespeichert. Mit ACM können Sie die AWS-Managementkonsole, AWS CLI oder AWS Certificate Manager-APIs verwenden, um alle SSL-/TLS-Zertifikate von ACM in einer AWS-Region zentral zu verwalten. ACM ist in andere AWS-Services integriert, sodass Sie ein SSL-/TLS-Zertifikat anfordern und mit Elastic Load Balancing oder Ihrer Amazon CloudFront-Verteilung aus der AWS-Managementkonsole, durch AWS-CLI-Befehle oder durch API-Aufrufe bereitstellen können.

ACM Private CA ist ein verwalteter privater CA-Service, mit dem Sie den Lebenszyklus Ihrer privaten Zertifikate einfach und sicher verwalten können. ACM Private CA bietet Ihnen einen hochverfügbaren privaten CA-Dienst ohne die vorherigen Investitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen privaten CA. ACM Private CA erweitert die Funktionen zur Zertifikatverwaltung von ACM auf private Zertifikate und ermöglicht Ihnen somit die zentrale Verwaltung von öffentlichen und privaten Zertifikaten. Mit ACM Private CA können Entwickler dynamischer reagieren, indem ihnen APIs zur programmgesteuerten Erstellung und Bereitstellung von privaten Zertifikaten zur Verfügung gestellt werden. Sie können auch flexibel private Zertifikate für Anwendungen erstellen, die eine benutzerdefinierte Lebensdauer oder benutzerdefinierte Ressourcennamen erfordern. Mit ACM Private CA können Sie private Zertifikate für Ihre verbundenen Ressourcen an einem Ort mit einem sicheren, nutzungsbasierten und verwalteten privaten CA-Service erstellen, verwalten und nachverfolgen. 

F: Welchen Arten von Zertifikaten kann ich mit ACM erstellen und verwalten?

Mit ACM können Sie den Lebenszyklus Ihrer öffentlichen und privaten Zertifikate verwalten. Die Funktionen von ACM hängen davon ab, ob das Zertifikat öffentlich oder privat ist, wie Sie das Zertifikat abrufen und wo Sie es bereitstellen. Weitere Informationen zu öffentlichen Zertifikaten finden Sie unter Öffentliche ACM-Zertifikate und Informationen zu privaten Zertifikaten und privaten CAs können Sie nachfolgend dem Abschnitt ACM Private CA entnehmen.

Öffentliche Zertifikate – ACM verwaltet die Erneuerung und Bereitstellung von öffentlichen Zertifikaten, die mit ACM-integrierten Services verwendet werden, u. a. Amazon CloudFront, Elastic Load Balancing und Amazon API Gateway.

Private Zertifikate – ACM Private CA bietet drei Möglichkeiten zur Erstellung und Verwaltung von privaten Zertifikaten. 1) Sie können festlegen, dass die Verwaltung von privaten Zertifikaten auf ACM übertragen wird. Bei Verwendung dieser Option kann ACM private Zertifikate, die mit ACM-integrierten Services wie etwa Amazon CloudFront, Elastic Load Balancing und Amazon API Gateway genutzt werden, automatisch erneuern und bereitstellen. Sie können diese privaten Zertifikate einfach mit der AWS-Managementkonsole, APIs und der Befehlszeilenschnittstelle (CLI, Command-Line Interface) bereitstellen. 2) Sie können private Zertifikate aus ACM exportieren und diese mit EC2-Instances, Containern, lokalen Servern und IoT-Geräten verwenden. ACM Private CA erneuert diese Zertifikate automatisch und versendet eine Amazon CloudWatch-Benachrichtigung, wenn die Erneuerung abgeschlossen ist. Sie können einen clientseitigen Code schreiben, um erneuerte Zertifikate und private Schlüssel herunterzuladen und diese mit Ihrer Anwendung bereitzustellen. 3) Mit ACM Private CA können Sie flexibel Ihre eigenen privaten Schlüssel erstellen, eine Zertifikatssignierungsanforderung (CSR, Certificate Signing Request) generieren, private Zertifikate von Ihrer ACM Private CA ausstellen und die Schlüssel und Zertifikate selbst verwalten. Sie sind verantwortlich für die Erneuerung und Bereitstellung dieser privaten Zertifikate.

Importierte Zertifikate – Wenn Sie das Zertifikat eines Drittanbieters mit Amazon CloudFront, Elastic Load Balancing oder Amazon API Gateway verwenden möchten, können Sie dieses mithilfe der AWS-Managementkonsole, AWS-CLI oder mit ACM-APIs importieren. ACM verwaltet den Erneuerungsprozess für importierte Zertifikate nicht. Sie sind verantwortlich für die Überwachung des Ablaufdatums Ihrer importierten Zertifikate und für die Erneuerung vor deren Ablauf. Sie können die AWS-Managementkonsole für die Überwachung des Ablaufdatums eines importierten Zertifikats verwenden und ein neues Zertifikat eines Dritten importieren, um das abgelaufene zu ersetzen. 

F: Was sind die ersten Schritte mit ACM?

Navigieren Sie für erste Schritte mit AWS Certificate Manager zu Certificate Manager in der AWS-Managementkonsole, und verwenden Sie den Assistenten zum Anfordern eines SSL-/TLS-Zertifikats. Wenn Sie bereits eine ACM Private CA erstellt haben, können Sie festlegen, ob Sie ein öffentliches oder privates Zertifikat haben möchten, und können dann den Namen Ihrer Website eingeben. Weitere Informationen zu ACM Private CA und zur Bestimmung der Art von Zertifikat für Ihre Bedürfnisse finden Sie nachfolgend unter ACM Private CA und Öffentliche ACM-Zertifikate. Sie können ein Zertifikat auch mit der AWS-CLI oder -API anfordern. Nachdem das Zertifikat ausgestellt wurde, können Sie es mit anderen AWS-Services, die in ACM integriert sind, verwenden. Für jeden integrierten Service wählen Sie einfach das gewünschte SSL-/TLS-Zertifikat aus einer Dropdown-Liste in der AWS-Managementkonsole aus. Sie können auch einen AWS-CLI-Befehl ausführen oder eine AWS-API aufrufen, um das Zertifikat Ihrer Ressource zuzuordnen. Der integrierte Service stellt das Zertifikat dann der ausgewählten Ressource bereit. Weitere Informationen zum Anfordern und Verwenden von Zertifikaten, die durch AWS Certificate Manager bereitgestellt werden, finden Sie unter Erste Schritte im AWS Certificate Manager-Benutzerhandbuch. Zusätzlich zur Verwendung von privaten Zertifikaten mit ACM-integrierten Services können Sie private Zertifikate auch auf EC2-Instances, auf ECS-Containern oder mit anderen beliebigen Anwendungen verwenden. Weitere Informationen finden Sie unter Private Zertifikate.

F: Mit welchen AWS-Services kann ich ACM-Zertifikate verwenden?

Sie können öffentliche und private ACM-Zertifikate mit folgenden AWS-Services verwenden:
• Elastic Load Balancing – Informationen finden Sie in der Dokumentation zu Elastic Load Balancing
• Amazon CloudFront – Informationen finden Sie in der Dokumentation zu CloudFront
• Amazon API Gateway – Informationen finden Sie in der Dokumentation zu API Gateway
• AWS Elastic Beanstalk – siehe Dokumentation zu AWS Elastic Beanstalk
• AWS CloudFormation – Derzeit werden nur öffentliche Zertifikate unterstützt, die die E-Mail-Validierung verwenden. Weitere Informationen finden Sie in der Dokumentation zu AWS CloudFormation  

Zusätzlich können Sie private Zertifikate, die mit ACM Private CA ausgestellt wurden, mit EC2-Instances, Containern, IoT-Geräten und auf Ihren eigenen Servern verwenden.

F: In welchen Regionen ist ACM verfügbar?

Informationen zu den aktuell für AWS-Services verfügbaren Regionen finden Sie auf den Seiten zu AWS Global Infrastructure. Um ein ACM-Zertifikat mit Amazon CloudFront zu verwenden, müssen Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern oder importieren. ACM-Zertifikate in dieser Region, die einer CloudFront-Verteilung zugeordnet sind, werden an alle für diese Verteilung konfigurierten geografischen Standorte verteilt. 

F: Was ist ACM Private CA?

Private Zertifikate werden zur Identifizierung und Sicherung der Kommunikation zwischen verbundenen Ressourcen in privaten Netzwerken, wie etwa Servern, mobilen und IoT-Geräten sowie Anwendungen verwendet. ACM Private CA ist ein verwalteter privater CA-Service, mit dem Sie den Lebenszyklus Ihrer privaten Zertifikate einfach und sicher verwalten können. ACM Private CA bietet Ihnen einen hochverfügbaren privaten CA-Dienst ohne die vorherigen Investitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen privaten CA. ACM Private CA erweitert die Funktionen zur Zertifikatverwaltung von ACM auf private Zertifikate und ermöglicht Ihnen somit die zentrale Erstellung und Verwaltung von öffentlichen und privaten Zertifikaten. Sie können private Zertifikate für Ihre AWS-Ressourcen einfach mithilfe der AWS-Managementkonsole oder der ACM-API erstellen und bereitstellen. Für EC2-Instances, Container, IoT-Geräte und lokale Ressourcen können Sie problemlos private Zertifikate erstellen, diese nachverfolgen und sie unter Verwendung Ihres eigenen clientseitigen Automatisierungscodes bereitstellen. Sie können private Zertifikate auch flexibel erstellen und diese selbst für Anwendungen verwalten, die eine benutzerdefinierte Lebensdauer, Schlüsselalgorithmen oder benutzerdefinierte Ressourcennamen erfordern. Erfahren Sie mehr über ACM Private CA.  

F: Was sind private Zertifikate?

Private Zertifikate dienen der Identifizierung von Ressourcen innerhalb einer Organisation, z. B. von Anwendungen, Diensten, Geräten und Benutzern. Beim Einrichten eines sicheren, verschlüsselten Kanals verwendet jeder Endpunkt ein Zertifikat und kryptografische Methoden, um dem anderen Endpunkt seine Identität nachzuweisen. Interne API-Endpunkte, Webserver, VPN-Benutzer, IoT-Geräte und viele andere Anwendungen nutzen private Zertifikate für die Einrichtung von verschlüsselten Kommunikationskanälen, die für deren sicheren Betrieb erforderlich sind.  

F: Was ist eine Private Certificate Authority (CA)?

Eine private CA (certificate authority, Zertifizierungsstelle) handhabt die Ausstellung, Validierung und Sperrung von privaten Zertifikaten innerhalb eines privaten Netzwerks (d. h. nicht im öffentlichen Internet). Sie besteht aus zwei Hauptkomponenten: Die erste ist das CA-Zertifikat, ein kryptografischer Baustein, auf dem das Zertifikat ausgestellt werden kann. Die zweite Komponente ist eine Reihe von Laufzeitdiensten zur Pflege von Sperrinformationen über die Certificate Revocation List (CRL, Zertifikatsperrliste). Versuchen Ressourcen gegenseitig eine Verbindung herzustellen, wird die CRL hinsichtlich des Status der Zertifikate überprüft, die die einzelnen Entitäten aufweisen. Sind die Zertifikate gültig, wird ein Handshake zwischen den Ressourcen erreicht, welcher die Identität der einzelnen Entitäten gegenüber den anderen kryptografisch nachweist und einen verschlüsselten Kommunikationskanal (TLS/SSL) zwischen diesen einrichtet.

F: Wie unterscheiden sich private Zertifikate und private CAs von öffentlichen Zertifikaten und öffentlichen CAs?

Die Komponenten einer privaten CA sind dieselben wie die einer öffentlichen CA. Allerdings müssen öffentliche CAs Zertifikate für Ressourcen im öffentlichen Internet ausstellen und validieren, wohingegen private CAS dieselbe Aufgabe für private Netzwerke erfüllen. Ein wichtiger Unterschied ist, dass Anwendungen und Browser öffentlichen Zertifikaten automatisch und standardmäßig vertrauen, wohingegen ein Administrator Anwendungen ausdrücklich konfigurieren muss, damit diese auch Zertifikaten vertrauen, die von privaten CAs ausgestellt wurden. Öffentliche Zertifizierungsstellen müssen strengen Richtlinien folgen, ihre Abläufe transparent gestalten und die Sicherheitsstandards erfüllen, die von den Anbietern der Browser und Betriebssysteme auferlegt werden. Denn die Anbieter entscheiden, welchen Zertifizierungsstellen ihre Browser und Betriebssysteme automatisch vertrauen. Administratoren von privaten CAs können ihre eigenen Richtlinien für die Ausstellung privater Zertifikate festlegen. Dazu gehören auch die Verfahren für das Ausstellen von Zertifikaten und die Informationen, die ein Zertifikat enthalten kann.

F: Warum verwenden Organisationen private Zertifikate anstelle von öffentlichen Zertifikaten?

Private Zertifikate bieten die Flexibilität, nahezu alle Ressourcen in einer Organisation zu identifizieren, ohne den Namen öffentlich bekannt zu geben. Wiki.internal, die IP-Adresse 192.168.1.1, fire-sensor-123 und user123 sind Beispiele für Namen, die in privaten Zertifikaten verwendet werden können. Im Gegensatz dazu sind öffentliche Zertifikate stark darauf beschränkt, Ressourcen mit öffentlichen DNS-Namen zu identifizieren, wie etwa www.example.com. Private Zertifikate können Informationen enthalten, die in öffentlichen Zertifikaten verboten sind. Einige Unternehmensanwendungen haben die Möglichkeit genutzt, zusätzliche Informationen in privaten Zertifikaten hinzuzufügen, und wären mit öffentlichen Zertifikaten nicht funktionsfähig.

F: Was sind selbstsignierte Zertifikate und warum sollten Organisationen stattdessen Zertifikate von einer privaten CA verwenden?

Selbstsignierte Zertifikate sind Zertifikate, die ohne eine CA ausgestellt werden. Im Gegensatz zu Zertifikaten, die von einem sicheren CA-überwachten Stamm ausgestellt werden, agieren selbstsignierte Zertifikate als eigener Stamm und weisen infolge erhebliche Beschränkungen auf: Sie können verwendet werden, um eine Verschlüsselung bei Übertragungen zur Verfügung zu stellen, jedoch nicht, um die Identität zu überprüfen; sie können auch nicht widerrufen werden. Aus sicherheitstechnischer Sicht sind sie inakzeptabel, aber Organisationen verwenden sie dennoch, denn sie können leicht generiert werden, erfordern kein Fachwissen und keine Infrastruktur und sie werden von vielen Anwendungen akzeptiert. Es gibt keine Kontrollen für die Ausstellung von selbstsignierten Zertifikaten. Organisationen, die selbstsignierte Zertifikate verwenden, gehen ein höheres Risiko für Ausfälle ein, welche durch das Ablaufen von Zertifikaten verursacht werden, denn sie verfügen über keine Möglichkeit, die Ablaufdaten nachzuverfolgen. ACM Private CA löst diese Probleme.

F: Was sind die ersten Schritte mit ACM Private CA?

Um mit ACM Private CA zu beginnen, wechseln Sie zum Certificate Manager in der AWS-Managementkonsole und wählen Private CAs auf der linken Seite des Bildschirms aus. Wählen Sie Erste Schritte aus, um mit der Erstellung einer privaten Zertifizierungsstelle zu beginnen. Weitere Informationen finden Sie unter Erste Schritte im Benutzerhandbuch von ACM Private CA.

F: Wo finde ich weitere Informationen über ACM Private CA?

Weitere Informationen finden Sie auf der Detailseite von ACM Private CA, im Benutzerhandbuch von ACM Private CA, im API-Leitfaden für ACM Private CA und in der AWS CLI-Referenz unter ACM

                                                                 Zurück zum Seitenanfang >>

F: Welche Arten von Zertifikaten werden von ACM verwaltet?

ACM verwaltet öffentliche, private und importierte Zertifikate. Weitere Informationen zu den Verwaltungsfunktionen für die einzelnen Zertifikatarten von ACM finden Sie unter [F: Wie kann ich Zertifikate mit ACM verwalten?].

F: Kann ACM Zertifikate mit mehreren Domain-Namen bereitstellen?

Ja. Jedes Zertifikat muss mindestens einen Domain-Namen enthalten, und Sie können einem Zertifikat ggf. weitere Namen hinzufügen. Sie können einem Zertifikat für „www.example.com“ beispielsweise den Namen „www.example.net“ hinzufügen, wenn Benutzer Ihre Website über beide Namen erreichen können. Sie müssen alle in der Zertifikatsanforderung enthaltenen Namen besitzen oder kontrollieren.  

F: Was ist ein Platzhalter-Domain-Name?

Ein Platzhalter-Domain-Name entspricht jeder untergeordneten Domain der ersten Ebene oder jedem Hostnamen in einer Domain. Eine untergeordnete Domain der ersten Ebene ist eine einzelne Bezeichnung für einen Domain-Namen, die keinen Punkt (.) enthält. Sie können zum Beispiel den Namen *.example.com verwenden, um www.example.com, images.example.com und alle anderen Hostnamen oder untergeordneten Domains der ersten Ebene, die auf .example.com enden, zu schützen. Weitere Informationen hierzu finden Sie im ACM-Benutzerhandbuch.

F: Kann ACM Zertifikate mit Platzhalter-Domain-Namen bereitstellen?

Ja.

F: Stellt ACM Zertifikate für etwas anderes als SSL/TLS bereit?

In ACM verwaltete Zertifikate sind für die Verwendung mit SSL/TLS vorgesehen. Stellen Sie private Zertifikate direkt von einer ACM Private CA aus und verwalten Sie die Schlüssel und Zertifikate ohne die Verwendung von ACM zur Zertifikatverwaltung, können Sie den Betreff, den Gültigkeitszeitraum, den Schlüsselalgorithmus und den Signaturalgorithmus für diese privaten Zertifikate konfigurieren und sie mit SSL/TLS sowie mit anderen Anwendungen verwenden.

F: Kann ich ACM-Zertifikate für die Codesignatur oder E-Mail-Verschlüsselung verwenden?

Nein.

F: Stellt ACM Zertifikate bereit, die zum Signieren und Verschlüsseln von E-Mails verwendet werden (S/MIME-Zertifikate)?

Nein, derzeit nicht.

F: Welchen Gültigkeitszeitraum haben ACM-Zertifikate?

Zertifikate, die über ACM ausgestellt werden, sind 13 Monate lang gültig. Stellen Sie private Zertifikate direkt von einer ACM Private CA aus und verwalten Sie die Schlüssel und Zertifikate ohne die Verwendung von ACM zur Zertifikatverwaltung, können Sie einen beliebigen Gültigkeitszeitraum wählen, z. B. ein definitives Enddatum oder einen relativen Zeitraum wie etwa Tage, Monate oder Jahre ab dem aktuellen Zeitpunkt.

F: Welche Algorithmen verwenden ACM-Zertifikate?

In ACM verwaltete Zertifikate verwenden RSA-Schlüssel mit einem 2048-Bit-Modul und SHA-256. Stellen Sie private Zertifikate direkt von einer ACM Private CA aus und verwalten Sie die Schlüssel und Zertifikate ohne die Verwendung von ACM zur Zertifikatverwaltung, können Sie auch ECDSA-Zertifikate (Elliptic Curve) ausstellen und verwenden. ACM bietet derzeit keine Möglichkeit, um diese Zertifikate zu verwalten.  

F: Wie kann ich ein Zertifikat widerrufen?

Sie können den Widerruf eines öffentlichen Zertifikats von ACM anfordern, indem Sie das AWS Support Center besuchen und einen Fall erstellen. Weitere Informationen zum Widerruf eines privaten Zertifikats, das von Ihrer ACM Private CA ausgestellt wurde, finden Sie im Benutzerhandbuch von ACM Private CA. 

F: Kann ich Zertifikate für andere AWS Regionen kopieren?

Derzeit steht keine Möglichkeit zur Verfügung, um ACM-verwaltete Zertifikate für andere Regionen zu kopieren. Sie können private Zertifikate, die Sie aus ACM exportieren, und Zertifikate, die Sie direkt von Ihrer ACM Private CA ohne die Verwendung von ACM für die Verwaltung von Zertifikaten und privaten Schlüsseln erstellen, kopieren.

F: Kann ich ein und dasselbe ACM-Zertifikat in mehreren AWS-Regionen verwenden?

Das hängt davon ab, ob Sie Elastic Load Balancing oder Amazon CloudFront verwenden. Für die Verwendung eines Zertifikats mit Elastic Load Balancing für dieselbe Website (denselben vollständig qualifizierten Domain-Namen oder FQDN bzw. Gruppe von FQDNs) in einer anderen Region, müssen Sie für jede Region, in der Sie es verwenden möchten, ein neues Zertifikat anfordern. Um ein ACM-Zertifikat mit Amazon CloudFront zu verwenden, müssen Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern. ACM-Zertifikate in dieser Region, die einer CloudFront-Verteilung zugeordnet sind, werden an alle für diese Verteilung konfigurierten geografischen Standorte verteilt.

F: Kann ich ein Zertifikat mit ACM bereitstellen, wenn ich bereits über ein Zertifikat eines anderen Anbieters für denselben Domain-Namen verfüge?

Ja.

F: Kann ich Zertifikate auf Amazon EC2-Instances oder auf meinen eigenen Servern verwenden?

Sie können private Zertifikate verwenden, die mit ACM Private CA mit EC2-Instances, Containern und auf Ihren eigenen Servern ausgestellt wurden. Derzeit können öffentliche ACM-Zertifikate nur mit bestimmten AWS-Services verwendet werden. Weitere Informationen hierzu finden Sie unter Mit welchen AWS-Services kann ich ACM-Zertifikate verwenden?

 

F: Lässt ACM Zeichen der lokalen Sprache in Domain-Namen zu, die auch als Internationalized Domain Names (IDNs) bezeichnet werden?

ACM lässt keine mit Unicode codierte Zeichen lokaler Sprachen zu. ACM lässt aber mit ASCII codierte Zeichen lokaler Sprachen für Domain-Namen zu.

F: Welche Formate für Domain-Namen lässt ACM zu?

ACM lässt nur mit UTF-8 codierte ASCII-Zeichen zu, auch Bezeichnungen mit „xn–“, die häufig als Punycode für Domain-Namen bezeichnet werden. ACM akzeptiert keine Unicode-Eingabe (u-labels) für Domain-Names. 

                                                                 Zurück zum Seitenanfang >>

F: Was sind öffentliche Zertifikate?

Kunden können mithilfe von sowohl öffentlichen als auch privaten Zertifikaten Ressourcen in Netzwerken identifizieren und die Kommunikation zwischen diesen Ressourcen sichern. Öffentliche Zertifikate identifizieren Ressourcen im Internet.

F: Welche Art von öffentlichen Zertifikaten stellt ACM bereit?

ACM stellt öffentliche DV-Zertifikate (Domain Validated, Domain-validiert) zur Verwendung mit Websites und Anwendungen bereit, die SSL/TLS beenden. Weitere Informationen zu ACM-Zertifikaten finden Sie unter Merkmale von Zertifikaten.

F: Sind öffentliche ACM-Zertifikate für Browser, Betriebssysteme und mobile Geräte vertrauenswürdig?

Öffentliche ACM-Zertifikate sind für die meisten modernen Browser, Betriebssysteme und mobilen Geräte vertrauenswürdig. Von ACM bereitgestellte Zertifikate sind in 99 % aller Browser und Betriebssysteme nutzbar, darunter auch Windows XP SP3 sowie Java 6 und neuer.

F: Wie kann ich überprüfen, ob mein Browser den von ACM bereitgestellten, öffentlichen Zertifikaten vertraut?

Browser, die ACM-Zertifikaten vertrauen, zeigen ein Schlosssymbol an und geben keine Zertifikatswarnungen aus, wenn sie Verbindungen zu Websites herstellen, die ACM-Zertifikate über SSL/TLS verwenden, z. B. bei Verwendung von HTTPS.

Öffentliche ACM-Zertifikate werden von der Zertifizierungsstelle (CA) von Amazon überprüft. Jeder Browser, jede Anwendung und jedes Betriebssystem, der/die/das Amazon Root CA 1, Starfield Services Root Certificate Authority – G2 oder Starfield Class 2 Certification Authority umfasst, vertraut ACM-Zertifikaten.

F: Stellt ACM OV(Organizational Validation)- oder EV(Extended Validation)-Zertifikate bereit?

Nein, derzeit nicht.

F: Wo erläutert Amazon die Richtlinien und Methoden zum Ausstellen von öffentlichen Zertifikaten?

Sie finden die Erläuterungen in den Dokumenten „Amazon Trust Services Certificate Policies“ und „Amazon Trust Services Certification Practices“. Die aktuellen Versionen finden Sie im Amazon Trust Services Repository.

F: Wie kann ich AWS benachrichtigen, falls sich die Informationen in einem öffentlichen Zertifikat ändern?

Senden Sie dazu eine E-Mail an AWS. Die Adresse lautet validation-questions[at]amazon.com.

                                                                 Zurück zum Seitenanfang >>

F: Wie kann ich aus ACM ein öffentliches Zertifikat bereitstellen?

Sie können die AWS-Managementkonsole, AWS-CLI oder ACM-APIs/-SDKs verwenden. Navigieren Sie zur Verwendung der AWS-Managementkonsole zum Certificate Manager, wählen Sie Zertifikat anfordern aus, wählen Sie Öffentliches Zertifikat anfordern aus, geben Sie den Domain-Namen für Ihre Website ein und folgen Sie dann den Anweisungen auf dem Bildschirm, um Ihre Anforderung abzuschließen. Sie können Ihrer Anforderung zusätzliche Domain-Namen hinzufügen, wenn Benutzer Ihre Website über andere Namen erreichen können. Bevor ACM ein Zertifikat ausstellen kann, validiert es, ob Sie die Domain-Namen in Ihrer Zertifikatsanforderung besitzen oder kontrollieren. Sie können bei der Anforderung eines Zertifikats zwischen einer DNS-Validierung und einer E-Mail-Validierung wählen. Bei der DNS-Validierung schreiben Sie einen Datensatz in die öffentliche DNS-Konfiguration für Ihre Domain, um anzugeben, dass Sie die Domain besitzen oder kontrollieren. Nachdem Sie die DNS-Validierung zum Herstellen der Kontrolle über Ihre Domain verwendet haben, können Sie weitere Zertifikate erhalten und ACM bestehende Zertifikate für die Domain erneuern lassen, solange der Datensatz erhalten bleibt und das Zertifikat genutzt wird. Sie brauchen die Kontrolle über die Domain nicht erneut zu validieren. Wenn Sie die E-Mail-Validierung anstelle der DNS-Validierung wählen, werden E-Mails an den Domain-Besitzer gesendet, um eine Genehmigung zur Ausstellung des Zertifikats anzufordern. Nachdem Sie den Besitz oder die Kontrolle der einzelnen Domain-Namen in Ihrer Anforderung validiert haben, wird das Zertifikat ausgestellt und kann mit anderen AWS-Services, zum Beispiel Elastic Load Balancing oder Amazon CloudFront, bereitgestellt werden. Weitere Informationen finden Sie in der ACM-Dokumentation.

F: Warum überprüft ACM den Domain-Besitz bei öffentlichen Zertifikaten?

Zertifikate werden verwendet, um die Identität Ihrer Website nachzuweisen und die Verbindung zwischen Browsern und Anwendungen und Ihrer Website zu sichern. Zum Ausstellen eines öffentlichen vertrauenswürdigen Zertifikats muss Amazon bestätigen, dass der Anforderer des Zertifikats die Kontrolle über den Domain-Namen in der Zertifikatsanforderung besitzt.

F: Wie validiert ACM den Domain-Besitz, bevor ein öffentliches Zertifikat für eine Domain ausgestellt wird?

Vor der Ausstellung eines Zertifikats validiert ACM, ob Sie die Domain-Namen in Ihrer Zertifikatsanforderung besitzen oder kontrollieren. Sie können bei der Anforderung eines Zertifikats zwischen einer DNS-Validierung und einer E-Mail-Validierung wählen. Bei einer DNS-Validierung können Sie den Domain-Besitz validieren, indem Sie einen CNAME-Datensatz zu Ihrer DNS-Konfiguration hinzufügen. Weitere Informationen finden Sie unter DNS-Validierung. Wenn Sie keine Datensätze in die öffentliche DNS-Konfiguration für Ihre Domain schreiben können, können Sie eine E-Mail-Validierung anstelle der DNS-Validierung verwenden. Bei der E-Mail-Validierung sendet ACM E-Mails an den registrierten Domain-Besitzer; der Besitzer bzw. ein autorisierter Vertreter kann die Ausstellung für jeden Domain-Namen in der Zertifikatsanforderung genehmigen. Weitere Informationen finden Sie unter E-Mail-Validierung.

F: Welche Validierungsmethode soll ich für mein öffentliches Zertifikat verwenden: DNS oder E-Mail?

Wir empfehlen die DNS-Validierung, wenn Sie die Möglichkeit haben, die DNS-Konfiguration für Ihre Domain zu ändern. Kunden, die keine Validierungs-E-Mails von ACM empfangen können, und Kunden, die einen Domain-Registrar verwenden, der keine E-Mail-Kontaktinformationen des Domain-Besitzers in WHOIS veröffentlicht, sollten die DNS-Validierung verwenden. Wenn Sie Ihre DNS-Konfiguration nicht ändern können, sollten Sie die E-Mail-Validierung verwenden.

F: Kann ich ein bestehendes öffentliches Zertifikat von der E-Mail-Validierung in die DNS-Validierung umwandeln?

Nein, Sie können aber ein neues, kostenloses Zertifikat von ACM anfordern und für das neue Zertifikat die DNS-Validierung wählen.

F: Wie lange dauert die Ausstellung eines öffentlichen Zertifikats?

Nachdem alle Domain-Namen in einem Zertifikat validiert wurden, kann die Ausstellung eines Zertifikats mehrere Stunden oder länger dauern.

F: Was geschieht, wenn ich ein öffentliches Zertifikat anfordere?

ACM versucht, den Besitz oder die Kontrolle jedes Domain-Namens in Ihrer Zertifikatsanforderung entsprechend der Validierungsmethode (DNS oder E-Mail) zu validieren, die Sie bei der Anforderung gewählt haben. Der Status der Zertifikatsanforderung ist Pending validation , während ACM zu validieren versucht, ob Sie die Domain besitzen oder kontrollieren. Weitere Informationen über den Validierungsprozess finden Sie nachfolgend in den Abschnitten DNS-Validierung und E-Mail-Validierung. Nachdem alle Domain-Namen in der Zertifikatsanforderung validiert wurden, kann die Ausstellung der Zertifikate mehrere Stunden oder länger dauern. Wenn das Zertifikat ausgestellt wurde, wird der Status der Zertifikatsanforderung in Issued geändert und Sie können es mit anderen AWS-Services nutzen, die in ACM integriert sind.

F: Überprüft ACM DNS CAA-Datensätze (Certificate Authority Authorization) vor dem Ausstellen von öffentlichen Zertifikaten?

Ja. Mit DNS CAA-Datensätzen (Certificate Authority Authorization) können Domain-Besitzer angeben, welche Zertifikatsstellen zur Ausgabe von Zertifikaten für ihre Domain berechtigt sind. Wenn Sie ein ACM-Zertifikat anfordern, sucht AWS Certificate Manager nach einem CAA-Datensatz in der DNS-Zonenkonfiguration für Ihre Domain. Wenn kein CAA-Datensatz vorhanden ist, kann Amazon ein Zertifikat für Ihre Domain ausgeben. Die meisten Kunden gehören zu dieser Kategorie.

Wenn Ihre DNS-Konfiguration einen CAA-Datensatz enthält, muss der Datensatz eine der folgenden CAs angeben, bevor Amazon ein Zertifikat für Ihre Domain ausgeben kann: amazon.com, amazontrust.com, awstrust.com oder amazonaws.com. Weitere Informationen finden Sie unter Konfigurieren eines CAA-Datensatzes oder Fehlersuche bei CAA-Problemen im AWS Certificate Manager-Benutzerhandbuch.

F: Unterstützt ACM andere Methoden zur Validierung einer Domain?

Nein, derzeit nicht.  

 

                                                                 Zurück zum Seitenanfang >>

F: Was ist DNS-Validierung?

Bei der DNS-Validierung können Sie eine Domain als Ihr Eigentum validieren, indem Sie einen CNAME-Datensatz zu Ihrer DNS-Konfiguration hinzufügen. Die DNS-Validierung macht Ihnen die Angabe leicht, dass Sie der Besitzer einer Domain sind, wenn Sie SSL-/TLS-Zertifikate von ACM anfordern.

F: Welche Vorteile bietet die DNS-Validierung?

Die DNS-Validierung erleichtert Ihnen die Validierung, dass Sie eine Domain besitzen oder kontrollieren, sodass Sie ein SSL-/TLS-Zertifikat anfordern können. Bei der DNS-Validierung schreiben Sie lediglich einen CNAME-Datensatz in Ihre DNS-Konfiguration, um die Kontrolle über Ihren Domain-Namen zu erhalten. Um den DNS-Validierungsprozess zu vereinfachen, kann die ACM Management Console DNS-Datensätze für Sie konfigurieren, wenn Sie Ihre DNS-Datensätze mit Amazon Route 53 verwalten. Dadurch lässt sich die Kontrolle über Ihren Domain-Namen auf einfache Weise mit ein paar Mausklicks herstellen. Sobald der CNAME-Datensatz konfiguriert wurde, erneuert ACM automatisch die verwendeten Zertifikate (die mit anderen AWS-Ressourcen verknüpft sind), solange der DNS-Validierungsdatensatz erhalten bleibt. Erneuerungen erfolgen komplett automatisch und berührungslos.

F: Wer sollte die DNS-Validierung verwenden?

Alle, die ein Zertifikat über ACM anfordern und die Möglichkeit haben, die DNS-Konfiguration für die angeforderte Domain zu ändern, sollten eine Verwendung der DNS-Validierung in Betracht ziehen.

F: Unterstützt ACM weiterhin die E-Mail-Validierung?

Ja. ACM unterstützt weiterhin die E-Mail-Validierung für Kunden, die ihre DNS-Konfiguration nicht ändern können.

F: Welche Datensätze muss ich zu meiner DNS-Konfiguration hinzufügen, um eine Domain zu validieren?

Sie müssen einen CNAME-Datensatz für die Domain hinzufügen, die Sie validieren möchten. Um zum Beispiel den Namen www.example.com zu validieren, fügen Sie einen CNAME-Datensatz zur Zone für example.com hinzu. Der von Ihnen hinzugefügte Datensatz enthält ein zufälliges Token, das ACM speziell für Ihre Domain und Ihr AWS-Konto generiert. Sie können die beiden Teile des CNAME-Datensatzes (Name und Label) von ACM anfordern. Weitere Anweisungen finden Sie im ACM-Benutzerhandbuch.

F: Wie kann ich DNS-Datensätze für meine Domain hinzufügen oder ändern?

Weitere Informationen zum Hinzufügen oder Ändern von DNS-Datensätzen erhalten Sie von Ihrem DNS-Anbieter. Die Dokumentation zu Amazon Route 53 DNS enthält weitere Informationen für Kunden, die Amazon Route 53 DNS nutzen.

F: Kann ACM die DNS-Validierung für Kunden von Amazon Route 53 DNS vereinfachen?

Ja. Für Kunden, die DNS-Datensätze mit Amazon Route 53 DNS verwalten, kann die ACM Console Datensätze zu Ihrer DNS-Konfiguration hinzufügen, wenn Sie ein Zertifikat anfordern. Ihre Route 53 DNS-gehostete Zone für Ihre Domain muss im gleichen AWS-Konto wie die dem konfiguriert sein, von dem Sie die Anforderung stellen. Außerdem müssen Sie über ausreichende Berechtigungen verfügen, um Ihre Amazon Route 53-Konfiguration ändern zu können. Weitere Anweisungen finden Sie im ACM-Benutzerhandbuch.

F: Muss ich für die DNS-Validierung einen bestimmten DNS-Anbieter nutzen?

Nein. Sie können die DNS-Validierung mit jedem DNS-Anbieter nutzen, solange Ihnen der Anbieter das Hinzufügen eines CNAME-Datensatzes zu Ihrer DNS-Konfiguration erlaubt.

F: Wie viele DNS-Datensätze brauche ich, wenn ich mehr als ein Zertifikat für die gleiche Domain möchte?

Eine. Sie können mit einem CNAME-Datensatz mehrere Zertifikate für ein und denselben Domain-Namen im selben AWS-Konto anfordern. Wenn Sie zum Beispiel zwei Zertifikatsanforderungen von demselben AWS-Konto für denselben Domain-Namen stellen, benötigen Sie nur einen DNS CNAME-Datensatz.

F: Kann ich mehrere Domain-Namen mit demselben CNAME-Datensatz validieren?

Nein. Jeder Domain-Name muss einen eindeutigen CNAME-Datensatz besitzen.

F: Kann ich einen Platzhalter-Domain-Namen mit der DNS-Validierung validieren?

Ja.

F: Wie werden CNAME-Datensätze von ACM aufgebaut?

DNS CNAME-Datensätze haben zwei Komponenten: einen Namen und ein Label. Die Namenskomponente eines von ACM generierten CNAME besteht aus einem Unterstrich (_), gefolgt von einem Token, bei dem es sich um eine eindeutige Zeichenfolge handelt, die mit Ihrem AWS-Konto und Ihrem Domain-Namen verknüpft ist. ACM stellt den Unterstrich und das Token vor Ihren Domain-Namen, um die Namenskomponente zu bilden. ACM erstellt das Label aus einem Unterstrich, der vor ein anderes Token gestellt wird. Dieses ist ebenfalls mit Ihrem AWS-Konto und Ihrem Domain-Namen verknüpft. ACM stellt den Unterstrich und das Token vor einen DNS-Domain-Namen, der von AWS für Validierungen verwendet wird: acm-validations.aws. Die folgenden Beispiele zeigen die Formatierung von CNAMEs für www.example.com, subdomain.example.com und *.example.com.

_TOKEN1.www.example.com               CNAME      _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com     CNAME      _TOKEN4.acm-validations.aws
_TOKEN5.example.com                         CNAME      _TOKEN6.acm-validations.aws

Beachten Sie, dass ACM das Platzhalterzeichen (*) beim Generieren von CNAME-Datensätzen für Platzhalternamen entfernt. Folglich ist der CNAME-Datensatz, den ACM für einen Platzhalternamen (z. B. *.example.com) generiert, der gleiche Datensatz, der für den Domain-Namen ohne das Platzhalterzeichen (example.com) zurückgegeben wird.

F: Kann ich alle Subdomains einer Domain mit einem CNAME-Datensatz validieren?

Nein. Jeder Domain-Name, einschließlich Hostnamen und Subdomain-Namen, müssen getrennt mit jeweils einem eindeutigen CNAME-Datensatz validiert werden.

F: Warum verwendet ACM CNAME-Datensätze für die DNS-Validierung statt TXT-Datensätze?

Durch einen CNAME-Datensatz kann ACM Zertifikate erneuern, solange der CNAME-Datensatz vorhanden ist. Der CNAME-Datensatz leitet auf einen TXT-Datensatz in einer AWS-Domain (acm-validations.aws) weiter, die ACM nach Bedarf aktualisieren kann, um einen Domain-Namen zu validieren oder erneut zu validieren, ohne dass Sie Maßnahmen ergreifen müssen.

F: Funktioniert die DNS-Validierung über AWS-Regionen hinweg?

Ja. Sie können einen DNS CNAME-Datensatz erstellen und mit ihm Zertifikate im selben AWS-Konto in allen AWS-Regionen anfordern, in denen ACM angeboten wird. Wenn Sie den CNAME-Datensatz einmal konfigurieren, können Sie von ACM für diesen Namen Zertifikate ausstellen und erneuern lassen, ohne dass ein neuer Datensatz erstellt wird.

F: Kann ich andere Validierungsmethoden im selben Zertifikat wählen?

Nein. Jedes Zertifikat kann nur über eine Validierungsmethode verfügen.

F: Wie erneuere ich ein Zertifikat, das mit der DNS-Validierung validiert wurde?

ACM erneuert automatisch die verwendeten Zertifikate (die mit anderen AWS-Ressourcen verknüpft sind), solange der DNS-Validierungsdatensatz erhalten bleibt.

F: Kann ich die Berechtigung, Zertifikate für meine Domain auszustellen, widerrufen?

Ja. Entfernen Sie einfach den CNAME-Datensatz. ACM stellt keine Zertifikate für Ihre Domain mithilfe der DNS-Validierung aus bzw. erneuert die Zertifikate nicht, wenn Sie den CNAME-Datensatz entfernen und die Änderung über DNS verteilt wird. Die Verbreitungszeit zum Entfernen des Datensatzes hängt von Ihrem DNS-Anbieter ab.

F: Was geschieht, wenn ich den CNAME-Datensatz entferne?

ACM kann mithilfe der DNS-Validierung keine Zertifikate für Ihre Domain mehr ausstellen oder erneuern, wenn Sie den CNAME-Datensatz entfernen.

Zurück zum Seitenanfang >>

F: Was ist E-Mail-Validierung?

Bei der E-Mail-Validierung wird für jeden Domain-Namen in der Zertifikatsanforderung eine E-Mail mit einer Genehmigungsanforderung an den registrierten Domain-Besitzer gesendet. Der Domain-Besitzer oder ein autorisierter Stellvertreter (der Genehmigende) kann die Zertifikatsanforderung durch Befolgen der Anweisungen in der E-Mail genehmigen. Die Anweisungen leiten den Genehmigenden zum Klicken auf den Link in der E-Mail oder zum Einfügen des Links aus der E-Mail in einen Browser weiter, um zur Genehmigungswebsite zu navigieren. Der Genehmigende überprüft die Informationen, die der Zertifikatsanforderung zugeordnet sind, z. B. Domain-Name, Zertifikats-ID (ARN) und die AWS-Konto-ID, die die Anforderung initiiert, und genehmigt die Anforderung, wenn die Informationen korrekt sind.

F: An welche E-Mail-Adresse wird die Genehmigungsanforderung für das Zertifikat gesendet, wenn ich ein Zertifikat anfordere und die E-Mail-Validierung wähle?

Wenn Sie ein Zertifikat mit der E-Mail-Validierung anfordern, wird eine WHOIS-Suche für jeden Domain-Namen in der Zertifikatsanforderung verwendet, um Kontaktinformationen für die Domain abzurufen. E-Mails werden an den Registrierer der Domain, an den Verwaltungskontakt und an den technischen Kontakt gesendet, die für die Domain aufgeführt sind. E-Mails werden außerdem an fünf Spezial-E-Mailadressen gesendet, die gebildet werden, indem admin@, administrator@, hostmaster@, webmaster@ und postmaster@ dem Domain-Namen vorangestellt werden, den Sie anfordern. Wenn Sie beispielsweise ein Zertifikat von server.example.com anfordern, wird eine E-Mail mit Kontaktinformationen, die von einer WHOIS-Abfrage für die Domain example.com zurückgegeben werden, an den Registrierer der Domain, an den technischen Kontakt und an den Verwaltungskontakt gesendet. Außerdem werden E-Mails an admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com und webmaster@server.example.com gesendet.

Die fünf speziellen E-Mail-Adressen sind für Domain-Namen, die mit „www“ oder Platzhalternamen beginnen, die wiederum mit einem Sternchen (*) anfangen, unterschiedlich konstruiert. ACM entfernt das „www“ bzw. das Sternchen vom Anfang, und eine E-Mail wird an die Verwaltungsadressen gesendet, die sich dadurch bilden, dass dem verbleibenden Teil des Domain-Namens admin@, administrator@, hostmaster@, postmaster@ oder webmaster@ vorangestellt wird. Wenn Sie beispielsweise ein Zertifikat für www.example.com, anfordern, wird eine E-Mail, wie zuvor beschrieben, an die WHOIS-Kontakte und an admin@example.com anstatt an admin@www.example.com gesendet. Die restlichen vier speziellen E-Mail-Adressen werden auf ähnliche Weise gebildet.

Nachdem Sie ein Zertifikat angefordert haben, können Sie die Liste der E-Mail-Adressen anzeigen, an die wir die E-Mail für die einzelnen Domains mit der ACM-Konsole, mit AWS-CLI oder -APIs gesendet haben.

F: Kann ich die E-Mail-Adressen, an die die Zertifikatsgenehmigungsanforderung gesendet wird, konfigurieren?

Nein, aber Sie können den Namen der Basis-Domain konfigurieren, an den die Überprüfungs-E-Mail gesendet werden soll. Der Name der Basis-Domain muss eine übergeordnete Domain des Domain-Namens in der Zertifikatsanforderung sein. Wenn Sie beispielsweise ein Zertifikat für server.domain.example.com anfordern, aber die Genehmigungs-E-Mail an admin@domain.example.com weiterleiten möchten, können Sie dazu die AWS-CLI oder -API verwenden. Weitere Informationen finden Sie in der ACM-CLI-Referenz und in der ACM-API-Referenz.

F: Kann ich Domains verwenden, die über Proxy-Kontaktinformationen (z. B. Privacy Guard oder WhoisGuard) verfügen?

Ja, allerdings kann sich die E-Mail-Zustellung aufgrund des Proxys verzögern. E-Mails, die über einen Proxy gesendet werden, finden Sie möglicherweise in Ihrem Spam-Ordner. Vorschläge zur Problemlösung finden Sie im ACM-Benutzerhandbuch.

F: Kann ACM meine Identität mithilfe des technischen Kontakts für mein AWS-Konto überprüfen?

Nein. Die Verfahrensweisen und Richtlinien für das Überprüfen der Identität des Domain-Besitzers sind sehr streng und werden vom CA-/Browser-Forum bestimmt, das Richtlinienstandards für öffentlich vertrauenswürdige Zertifikatsstellen festlegt. Weitere Informationen erhalten Sie im aktuellen Amazon Trust Services Certification Practices Statement im Amazon Trust Services Repository.

F: Wie sollte ich vorgehen, wenn ich die Genehmigungs-E-Mail nicht erhalten haben?

Vorschläge zur Problemlösung finden Sie im ACM-Benutzerhandbuch.

Zurück zum Seitenanfang >>

F: Wie werden die privaten Schlüssel der von ACM bereitgestellten Zertifikate verwaltet?

Für jedes von ACM bereitgestellte Zertifikat wird ein Schlüsselpaar erstellt. AWS Certificate Manager wurde entwickelt, um die mit SSL-/TLS-Zertifikaten verwendeten privaten Schlüssel zu schützen und zu verwalten. Beim Schützen und Speichern privater Schlüssel werden sichere und bewährte Verschlüsselungs- und Schlüsselverwaltungsmethoden verwendet.

F: Kopiert ACM Zertifikate über AWS-Regionen hinweg?

Nein. Der private Schlüssel eines ACM-Zertifikats wird in der Region gespeichert, in der Sie das Zertifikat anfordern. Wenn Sie beispielsweise ein neues Zertifikat in der Region "US East (N. Virginia)" abrufen, speichert ACM den privaten Schlüssel in der Region "N. Virginia". ACM-Zertifikate werden nur regionsübergreifend kopiert, wenn das Zertifikat einer CloudFront-Verteilung zugeordnet ist. In diesem Fall verteilt CloudFront das ACM-Zertifikat an die geografischen Standorte, die für Ihre Verteilung konfiguriert wurden.

F: Kann ich die Verwendung privater Zertifikatsschlüssel überwachen?

Ja. Mithilfe von AWS CloudTrail können Sie Protokolle überprüfen, die Ihnen sagen, wann der private Schlüssel für das Zertifikat verwendet wurde.

Zurück zum Seitenanfang >>

F: Wie wird mir die Nutzung von ACM-Zertifikaten in Rechnung gestellt?

Öffentliche und private Zertifikate, die über AWS Certificate Manager zur Verwendung mit ACM-integrierten Services wie etwa Elastic Load Balancing, Amazon CloudFront und Amazon API Gateway bereitgestellt wurden, sind kostenlos. Sie zahlen für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen. Für AWS Certificate Manager Private Certificate Authority sind die Preise nutzungsbasiert. Sie bezahlen eine Monatsgebühr für den Betrieb der einzelnen ACM Private CAs bis zu deren Löschung. Sie bezahlen auch für die privaten Zertifikate, die Sie erstellen und aus ACM exportieren, z. B. Zertifikate, die mit EC2 oder lokalen Servern verwendet werden oder solche, die Sie direkt von Ihrer Private CA durch selbstständiges Erstellen des privaten Schlüssels ausstellen. Weitere Informationen und Beispiele finden Sie auf der Seite mit der Preisübersicht

Zurück zum Seitenanfang >>

F: Kann ich das gleiche Zertifikat mit mehreren Elastic Load Balancing-Load Balancers und mehreren CloudFront-Verteilungen verwenden?

Ja.

F: Kann ich öffentliche Zertifikate für interne Elastic Load Balancing-Load Balancers ohne öffentlichen Internetzugang verwenden?

Ja, aber Sie können auch die Verwendung von ACM Private CA zur Ausstellung von privaten Zertifikaten in Betracht ziehen, welche ACM ohne Validierung erneuern kann. Informationen zum Verarbeiten von Erneuerungen für öffentliche Zertifikate, die nicht aus dem öffentlichen Internet erreichbar sind, und von privaten Zertifikaten, finden Sie unter Verwaltete Erneuerung und Bereitstellung.

F: Funktioniert ein Zertifikat für www.example.com auch für example.com?

Nein. Wenn Sie möchten, dass durch beide Domain-Namen (www.example.com und example.com) auf Ihre Website verwiesen wird, müssen Sie ein Zertifikat anfordern, das beide Namen enthält.

F: Kann ich das Zertifikat eines Dritten importieren und mit AWS-Services verwenden?

Ja. Wenn Sie das Zertifikat eines Drittanbieters mit Amazon CloudFront, Elastic Load Balancing oder Amazon API Gateway verwenden möchten, können Sie dieses mithilfe der AWS-Managementkonsole, AWS-CLI oder ACM-APIs importieren. ACM verwaltet den Erneuerungsprozess für importierte Zertifikate nicht. Sie können die AWS-Managementkonsole für die Überwachung des Ablaufdatums eines importierten Zertifikats verwenden und ein neues Zertifikat eines Dritten importieren, um das abgelaufene zu ersetzen.

F: Wie kann ACM meiner Organisation dabei helfen, Compliance-Anforderungen zu erfüllen?

Mit ACM können Sie gesetzliche Anforderungen leichter einhalten, da Sie problemlos sichere Verbindungen herstellen können – eine häufige Voraussetzung vieler Compliance-Programme wie PCI, FedRAMP und HIPAA. Spezielle Informationen zur Compliance finden Sie unter http://aws.amazon.com/compliance.

F: Besteht für ACM ein Service Level Agreement (SLA)?

Nein, derzeit nicht.

F: Stellt ACM ein sicheres Website-Siegel oder Garantie-Logo bereit, das ich in meine Website integrieren kann?

Nein. Wenn Sie ein Website-Siegel verwenden möchten, erhalten Sie eins von einem Drittanbieter. Wir empfehlen die Auswahl eines Anbieters, der die Sicherheit Ihrer Website, Ihrer Geschäftsmethoden oder beides bewertet und analysiert.

F: Lässt Amazon die Verwendung seiner Markenzeichen oder Logos als Zertifikatsabzeichen, Website-Siegel oder Garantie-Logo zu?

Nein. Siegel und Abzeichen dieses Typs können auf Websites kopiert werden, die den ACM-Service nicht verwenden und unrechtmäßig einsetzen, um Vertrauen unter falschen Voraussetzungen zu schaffen. Zum Schutz unserer Kunden und des Rufes von Amazon lassen wir die Verwendung unseres Logos auf diese Weise nicht zu. 

Zurück zum Seitenanfang >>

F: Welche Protokollierungsinformationen stehen aus AWS CloudTrail zur Verfügung?

Sie können identifizieren, welche Benutzer und Konten AWS-APIs für Services, die AWS CloudTrail unterstützen, aufgerufen haben, die Quell-IP-Adresse, von der die Aufrufe ausgingen, und wann die Aufrufe aufgetreten sind. Sie können beispielsweise identifizieren, welcher Benutzer einen API-Aufruf durchgeführt hat, um ein von ACM bereitgestelltes Zertifikat einem Elastic Load Balancer zuzuordnen, und wann der Elastic Load Balancing-Service den Schlüssel mit einem KMS-API-Aufruf entschlüsselt hat.

Zurück zum Seitenanfang >>

F: Was bedeutet die verwaltete Erneuerung und Bereitstellung von ACM?

Die verwaltete Erneuerung und Bereitstellung von ACM verwaltet den Prozess des Erneuerns von SSL-/TLS-Zertifikaten von ACM und das Bereitstellen von Zertifikaten nach der Erneuerung.

F: Was sind die Vorteile der verwalteten Erneuerung und Bereitstellung von ACM?

ACM kann die Erneuerung und Bereitstellung von SSL-/TLS-Zertifikaten für Sie verwalten. ACM sorgt für einen sichereren Ablauf des Konfigurierens und Verwaltens von SSL/TLS für einen sicheren Webservice oder ein Anwendung, als dies bei potenziell fehlerbehafteten manuellen Prozessen der Fall wäre. Die verwaltete Erneuerung und Bereitstellung von kann dazu beitragen, Ausfallzeiten aufgrund von abgelaufenen Zertifikaten zu vermeiden. ACM wird als ein in andere AWS-Services integrierter Service ausgeführt. Das bedeutet, dass Sie Zertifikate auf der AWS-Plattform zentral mithilfe der AWS-Managementkonsole, AWS-CLI oder -APIs verwalten und bereitstellen können. Mit ACM Private CA können Sie private Zertifikate erstellen und diese exportieren. ACM erneuert exportierte Zertifikate, welche somit durch Ihren clientseitigen Code heruntergeladen und bereitgestellt werden können.  

F: Welche ACM-Zertifikate können automatisch erneuert und bereitgestellt werden?

Öffentliche Zertifikate

ACM kann öffentliche ACM-Zertifikate ohne zusätzliche Validierung durch den Domain-Besitzer erneuern und bereitstellen. Wenn ein Zertifikat nicht ohne zusätzliche Validierung erneuert werden kann, verwaltet ACM den Erneuerungsprozess durch Validieren des Domain-Besitzes oder der Domain-Kontrolle für jeden Domain-Namen im Zertifikat. Nachdem alle Domain-Namen im Zertifikat validiert wurden, erneuert ACM das Zertifikat und stellt es automatisch mit Ihren AWS-Ressourcen bereit. Wenn ACM den Domain-Besitz nicht validieren kann, teilen wir Ihnen (dem AWS-Kontobesitzer) dies mit.

Wenn Sie die DNS-Validierung in Ihrer Zertifikatsanforderung gewählt haben, kann ACM Ihr Zertifikat ohne einen Eingriff Ihrerseits unbegrenzt erneuern, solange das Zertifikat genutzt wird (d. h. mit anderen AWS-Ressourcen verknüpft ist) und Ihr CNAME-Datensatz vorhanden ist. Wenn Sie bei der Zertifikatsanforderung die E-Mail-Validierung ausgewählt haben, können Sie die Fähigkeit von ACM, ACM-Zertifikate automatisch zu erneuern und bereitzustellen, verbessern. Stellen Sie dazu sicher, dass das Zertifikat genutzt wird, dass alle im Zertifikat enthaltenen Domain-Namen zu Ihrer Website aufgelöst werden können und dass alle Domain-Namen über das Internet erreichbar sind.

Private Zertifikate

ACM bietet drei Möglichkeiten zur Verwaltung von privaten Zertifikaten, die mit ACM Private CAs ausgestellt wurden. ACM bietet je nach Art der Verwaltung Ihrer privaten Zertifikate verschiedene Erneuerungs- und Bereitstellungsfunktionen. Für jedes private Zertifikat, das Sie ausstellen, können Sie die beste Verwaltungsoption auswählen.

1) ACM kann die Erneuerung und Bereitstellung von privaten Zertifikaten, die mit Ihren ACM Private CAs ausgestellt und mit ACM-integrierten Services wie etwa Elastic Load Balancing und API Gateway verwendet werden, vollständig automatisieren. ACM kann private Zertifikate, die in ACM erstellt und verwaltet werden, erneuern und bereitstellen, solange die Private CA, die das Zertifikat ausgestellt hat, den Status Active hat.

2) Bei privaten Zertifikaten, die Sie aus ACM zur Verwendung mit lokalen Ressourcen, EC2-Instances und IoT-Geräten exportieren, erneuert ACM Private CA Ihr Zertifikat automatisch. Sie sind verantwortlich für das Abrufen des neuen Zertifikats und des privaten Schlüssels und für deren Bereitstellung mit Ihrer Anwendung.

3) Stellen Sie Zertifikate direkt von ACM Private CA aus und verwalten Sie die Schlüssel und Zertifikate selbst, ohne ACM zur Zertifikatverwaltung zu verwenden, erneuert ACM Ihr Zertifikat nicht. Sie sind verantwortlich für die Erneuerung und Bereitstellung dieser privaten Zertifikate.

F: Wann erneuert ACM Zertifikate?

ACM beginnt den Erneuerungsprozess bis zu 60 Tage vor dem Ablaufdatum des Zertifikats. Der Gültigkeitszeitraum für ACM-Zertifikate beträgt derzeit 13 Monate. Weitere Informationen zur verwalteten Erneuerung finden Sie im ACM-Benutzerhandbuch.

F: Werde ich benachrichtigt, bevor mein Zertifikat erneuert und das neue Zertifikat bereitgestellt wird?

Nein. ACM kann das Zertifikat ohne vorherige Ankündigung erneuern oder mit einem neuen Schlüssel versehen und das alte ersetzen.

F: Kann ACM öffentliche Zertifikate mit sogenannten "bare Domains", wie zum Beispiel "example.com" (auch als "Zone Apex" oder "naked Domains" bezeichnet) erneuern?

Wenn Sie die DNS-Validierung in Ihrer Anforderung für ein öffentliches Zertifikat gewählt haben, kann ACM Ihr Zertifikat ohne weiteren Eingriff Ihrerseits erneuern, solange das Zertifikat genutzt wird (mit anderen AWS-Ressourcen verknüpft ist) und Ihr CNAME-Datensatz vorhanden ist.

Wenn Sie bei der Anforderung eines öffentlichen Zertifikats mit einer "bare Domain" die E-Mail-Validierung ausgewählt haben, stellen Sie sicher, dass eine DNS-Suche der "bare Domain" zu der AWS-Ressource aufgelöst wird, die mit dem Zertifikat verknüpft ist. Das Auflösen der "bare Domain" zu einer AWS-Ressource kann eine Herausforderung darstellen, sofern Sie nicht Route 53 oder einen anderen DNS-Anbieter verwenden, der Alias-Ressourcendatensätze (oder etwas Entsprechendes) für das Zuweisen von "bare Domains" zu AWS-Ressourcen unterstützt. Weitere Informationen erhalten Sie im Route 53-Entwicklerhandbuch.

F: Trennt meine Website bestehende Verbindungen, wenn ACM das erneuerte Zertifikat bereitstellt?

Nein, Verbindungen, die nach der Bereitstellung des neuen Zertifikats hergestellt werden, verwenden das neue Zertifikat. Bestehende Verbindungen bleiben davon unberührt.

Zurück zum Seitenanfang >>