F: Was ist AWS Certificate Manager (ACM)?

AWS Certificate Manager (ACM) ist ein Service, mit dem Sie problemlos SSL- und TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security) zur Verwendung mit AWS-Services bereitstellen und verwalten können. SSL-/TLS-Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites über das Internet nachzuweisen. ACM macht den zeitaufwändigen manuellen Prozess des Kaufens, Hochladens und Erneuerns von SSL-/TLS-Zertifikaten überflüssig. Mit ACM können Sie ein Zertifikat anfordern, es auf AWS-Ressourcen wie Elastic Load Balancer, Amazon CloudFront-Verteilungen oder APIs auf Amazon API Gateway bereitstellen und AWS Certificate Manager das Durchführen von Zertifikatserneuerungen überlassen. Sie können auch Zertifikate von Drittanbietern in ACM importieren und sie mit unterstützten AWS-Services verknüpfen. SSL-/TLS-Zertifikate, die über ACM bereitgestellt werden, sind kostenlos. Sie zahlen nur für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen.

F: Was ist ein SSL-/TLS-Zertifikat?

SSL-/TLS-Zertifikate ermöglichen Webbrowsern das Identifizieren und Einrichten verschlüsselter Netzwerkverbindungen zu Websites mithilfe des SSL-/TLS-Protokolls (Secure Sockets Layer/Transport Layer Security). Zertifikate werden innerhalb eines kryptografischen Systems verwendet, das als PKI (Public Key Infrastructure, Infrastruktur mit öffentlichen Schlüsseln) bezeichnet wird. Mit PKI kann eine Partei die Identität einer weiteren Partei mit Zertifikaten nachweisen, wenn beide einer dritten Partei, die als Zertifikatsstelle bezeichnet wird, vertrauen. Das Thema Konzepte im ACM-Benutzerhandbuch bietet zusätzliche Hintergrundinformationen und Definitionen.

F: Wozu kann ich AWS Certificate Manager verwenden?

Sie können SSL-/TLS-Zertifikate anfordern und bereitstellen und in ACM integrierte Services nutzen (z. B. Elastic Load Balancing, Amazon CloudFront oder Amazon API Gateway), um Zertifikate auf Ihrer Website oder in Ihrer Anwendung bereitzustellen. Sobald Sie den Besitz der angeforderten Domain validieren und das Zertifikat ausgestellt wird, können Sie das SSL-/TLS-Zertifikat aus einer Dropdown-Liste in der AWS Management Console für die Bereitstellung auswählen. Sie können von ACM zur Verfügung gestellte Zertifikate auch mit AWS Command Line Interface (CLI)-Befehlen oder API-Aufrufen für AWS-Ressourcen bereitstellen. ACM verwaltet Zertifikatserneuerungen und -bereitstellungen für Sie.

F: Was sind die Vorteile von AWS Certificate Manager?

ACM vereinfacht das Aktivieren von SSL/TLS für eine Website oder Anwendung auf der AWS-Plattform. ACM macht viele der Prozesse unnötig, die zuvor für und dem Verwalten von SSL-/TLS-Zertifikaten erforderlich waren. ACM kann auch dazu beitragen, Ausfallzeiten aufgrund von falsch konfigurierten, widerrufenen oder abgelaufenen Zertifikaten durch Verwalten von Erneuerungen zu vermeiden. Sie erhalten SSL-/TLS-Schutz und eine einfache Zertifikatsverwaltung. Durch das Aktivieren von SSL/TLS kann die Position Ihrer Website in Suchergebnissen verbessert und das Einhalten von Compliance-Anforderungen für das Verschlüsseln von übertragenen Daten vereinfacht werden.

ACM verwendet zur Validierung, dass Sie den Domain-Namen in Ihrem Zertifikat besitzen oder kontrollieren, entweder eine DNS-Validierung oder eine E-Mail-Validierung auf Basis Ihrer Auswahl bei der Anforderung eines Zertifikats. Bei der DNS-Validierung schreiben Sie lediglich einen CNAME-Datensatz in Ihre DNS-Konfiguration, um die Kontrolle über Ihren Domain-Namen zu erhalten. Um den DNS-Validierungsprozess weiter zu vereinfachen, kann die ACM Management Console DNS-Datensätze für Sie konfigurieren, wenn Sie Ihre DNS-Datensätze mit Amazon Route 53 verwalten. Dadurch lässt sich die Kontrolle über Ihren Domain-Namen auf einfache Weise mit ein paar Mausklicks herstellen. Nach der Konfiguration des CNAME-Datensatzes kann ACM automatisch DNS-validierte Zertifikate vor deren Ablauf erneuern, solange der DNS-Datensatz bestehen bleibt und die Zertifikate genutzt werden. Erneuerungen erfolgen komplett automatisch und berührungslos. ACM unterstützt außerdem eine E-Mail-Validierung für Kunden, die die DNS-Konfiguration für ihre Domain nicht aktualisieren können.

Wenn Sie ACM verwenden, werden private Schlüssel sicher geschützt und mit zuverlässigen und bewährten Verschlüsselungs- und Schlüsselverwaltungsmethoden gespeichert. Durch ACM können Sie die AWS-Managementkonsole, AWS CLI oder AWS Certificate Manager-APIs verwenden, um alle von ACM in einer AWS-Region bereitgestellten SSL-/TLS-Zertifikate zentral zu verwalten. ACM ist in andere AWS-Services integriert, sodass Sie ein SSL-/TLS-Zertifikat anfordern und mit Elastic Load Balancing oder Ihrer Amazon CloudFront-Verteilung aus der AWS-Managementkonsole, durch AWS-CLI-Befehle oder durch API-Aufrufe bereitstellen können.

F: Was sind die ersten Schritte mit ACM?

Navigieren Sie für die ersten Schritte mit AWS Certificate Manager zu Certificate Manager in der AWS Management Console, und verwenden Sie den Assistenten zum Anfordern eines SSL-/TLS-Zertifikats, indem Sie den Namen Ihrer Website eingeben. Sie können ein Zertifikat auch mit der AWS-CLI oder -API anfordern. Sobald ACM vom Domain-Besitzer die Genehmigung erhalten hat und das SSL/TLS-Zertifikat ausgestellt wurde, können Sie es mit anderen AWS-Services in ACM verwenden. Für jeden integrierten Service wählen Sie einfach das gewünschte SSL-/TLS-Zertifikat aus einer Dropdown-Liste in der AWS-Managementkonsole aus. Sie können auch einen AWS-CLI-Befehl ausführen oder eine AWS-API aufrufen, um das Zertifikat Ihrer Ressource zuzuordnen. Der integrierte Service stellt das Zertifikat dann der ausgewählten Ressource bereit. Weitere Informationen zum Anfordern und Verwenden von Zertifikaten, die durch AWS Certificate Manager bereitgestellt werden, finden Sie unter Erste Schritte im AWS Certificate Manager-Benutzerhandbuch.

F: Warum validiert ACM den Domain-Besitz?

Zertifikate werden verwendet, um die Identität Ihrer Website nachzuweisen und die Verbindung zwischen Browsern und Anwendungen und Ihrer Website zu sichern. Zum Ausstellen eines öffentlichen vertrauenswürdigen Zertifikats muss Amazon bestätigen, dass der Anforderer des Zertifikats die Kontrolle über den Domain-Namen in der Zertifikatsanforderung besitzt.

F: Wie validiert ACM den Domain-Besitz, bevor ein Zertifikat für eine Domain ausgestellt wird?

Vor der Ausstellung eines Zertifikats validiert ACM, ob Sie die Domain-Namen in Ihrer Zertifikatsanforderung besitzen oder kontrollieren. Sie können bei der Anforderung eines Zertifikats zwischen einer DNS-Validierung und einer E-Mail-Validierung wählen. Bei einer DNS-Validierung können Sie den Domain-Besitz validieren, indem Sie einen CNAME-Datensatz zu Ihrer DNS-Konfiguration hinzufügen. Weitere Informationen finden Sie unter DNS-Validierung. Wenn Sie keine Datensätze in die öffentliche DNS-Konfiguration für Ihre Domain schreiben können, können Sie eine E-Mail-Validierung anstelle der DNS-Validierung verwenden. Bei der E-Mail-Validierung sendet ACM E-Mails an den registrierten Domain-Besitzer; der Besitzer bzw. ein autorisierter Vertreter kann die Ausstellung für jeden Domain-Namen in der Zertifikatsanforderung genehmigen. Weitere Informationen finden Sie unter E-Mail-Validierung.

F: Welche Validierungsmethode soll ich verwenden: DNS oder E-Mail?

Wir empfehlen die DNS-Validierung, wenn Sie die Möglichkeit haben, die DNS-Konfiguration für Ihre Domain zu ändern. Kunden, die keine Validierungs-E-Mails von ACM empfangen können, und Kunden, die einen Domain-Registrar verwenden, der keine E-Mail-Kontaktinformationen des Domain-Besitzers in WHOIS veröffentlicht, sollten die DNS-Validierung verwenden. Wenn Sie Ihre DNS-Konfiguration nicht ändern können, sollten Sie die E-Mail-Validierung verwenden.

F: Kann ich ein bestehendes Zertifikat von der E-Mail-Validierung in die DNS-Validierung umwandeln?

Nein, Sie können aber ein neues, kostenloses Zertifikat von ACM anfordern und für das neue Zertifikat die DNS-Validierung wählen.

F: Welche Art von Zertifikaten stellt ACM bereit?

ACM stellt DV-Zertifikate (Domain Validated, Domain-validiert) zur Verwendung mit Websites und Anwendungen bereit, die SSL/TLS beenden. Weitere Informationen zu von ACM bereitgestellten Zertifikaten finden Sie unter Merkmale von Zertifikaten.

F: Mit welchen AWS-Services kann ich Zertifikate verwenden, die von ACM bereitgestellt werden?

Sie können ACM mit den folgenden AWS-Services verwenden:
• Elastic Load Balancing – Informationen finden Sie in der Dokumentation zu Elastic Load Balancing
• Amazon CloudFront – Informationen finden Sie in der Dokumentation zu CloudFront
• Amazon API Gateway – Informationen finden Sie in der Dokumentation zu API Gateway
• AWS Elastic Beanstalk – siehe Dokumentation zu AWS Elastic Beanstalk
• AWS CloudFormation – siehe Dokumentation zu AWS CloudFormation

F: In welchen Regionen ist ACM verfügbar?

Informationen zu den aktuell für AWS-Services verfügbaren Regionen finden Sie auf den Seiten zu AWS Global Infrastructure. Um ein ACM-Zertifikat mit Amazon CloudFront zu verwenden, müssen Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern oder importieren. ACM-Zertifikate in dieser Region, die einer CloudFront-Verteilung zugeordnet sind, werden an alle für diese Verteilung konfigurierten geografischen Standorte verteilt.

F: Kann ich ein und dasselbe Zertifikat in mehreren AWS-Regionen verwenden?

Das hängt davon ab, ob Sie Elastic Load Balancing oder Amazon CloudFront verwenden. Für die Verwendung eines Zertifikats mit Elastic Load Balancing für dieselbe Website (denselben vollständig qualifizierten Domain-Namen oder FQDN bzw. Gruppe von FQDNs) in einer anderen Region, müssen Sie für jede Region, in der Sie es verwenden möchten, ein neues Zertifikat anfordern. Um ein ACM-Zertifikat mit Amazon CloudFront zu verwenden, müssen Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern. ACM-Zertifikate in dieser Region, die einer CloudFront-Verteilung zugeordnet sind, werden an alle für diese Verteilung konfigurierten geografischen Standorte verteilt.

F: Kann ich Zertifikate für andere Regionen kopieren?

Nein, derzeit nicht.

F: Kann ich ein Zertifikat mit ACM bereitstellen, wenn ich bereits über ein Zertifikat eines anderen Anbieters für denselben Domain-Namen verfüge?

Ja.

F: Kann ich Zertifikate auf Amazon EC2-Instanzen oder auf meinen eigenen Servern verwenden?

Nein. Momentan können von ACM bereitgestellte Zertifikate nur mit bestimmten AWS-Services verwendet werden. Informationen finden Sie unter Mit welchen AWS-Services kann ich Zertifikate verwenden, die von ACM bereitgestellt werden?.

F: Gibt es ein Limit hinsichtlich der Anzahl der Zertifikate, die ich mit ACM bereitstellen kann?

Sie können standardmäßig in jeder Region bis zu 100 Zertifikate pro Konto bereitstellen. Jedes mit ACM bereitgestellte Zertifikat kann bis zu zehn vollqualifizierte Domain-Namen haben. Eine Erhöhung des Limits können Sie im AWS Support Center anfordern. Weitere Einzelheiten finden Sie in der AWS Support Center-Dokumentation.

Zurück zum Seitenanfang

F: Wie kann ich aus ACM ein Zertifikat bereitstellen?

Sie können die AWS Management Console, AWS-CLI oder ACM-APIs/-SDKs verwenden. Navigieren Sie zur Verwendung der AWS-Managementkonsole zum Certificate Manager, wählen Sie Zertifikat anfordern aus, geben Sie den Domain-Namen für Ihre Website ein und folgen Sie dann den Anweisungen auf dem Bildschirm, um Ihre Anforderung abzuschließen. Sie können Ihrer Anforderung zusätzliche Domain-Namen hinzufügen, wenn Benutzer Ihre Website über andere Namen erreichen können. Bevor ACM ein Zertifikat ausstellen kann, validiert es, ob Sie die Domain-Namen in Ihrer Zertifikatsanforderung besitzen oder kontrollieren. Sie können bei der Anforderung eines Zertifikats zwischen einer DNS-Validierung und einer E-Mail-Validierung wählen. Bei der DNS-Validierung schreiben Sie einen Datensatz in die öffentliche DNS-Konfiguration für Ihre Domain, um anzugeben, dass Sie die Domain besitzen oder kontrollieren. Nachdem Sie die DNS-Validierung zum Herstellen der Kontrolle über Ihre Domain verwendet haben, können Sie weitere Zertifikate erhalten und ACM bestehende Zertifikate für die Domain erneuern lassen, solange der Datensatz erhalten bleibt und das Zertifikat genutzt wird. Sie brauchen die Kontrolle über die Domain nicht erneut zu validieren. Wenn Sie die E-Mail-Validierung anstelle der DNS-Validierung wählen, werden E-Mails an den Domain-Besitzer gesendet, um eine Genehmigung zur Ausstellung des Zertifikats anzufordern. Nachdem Sie den Besitz oder die Kontrolle der einzelnen Domain-Namen in Ihrer Anforderung validiert haben, wird das Zertifikat ausgestellt und kann mit anderen AWS-Services, zum Beispiel Elastic Load Balancing oder Amazon CloudFront, bereitgestellt werden. Weitere Informationen finden Sie in der ACM-Dokumentation.

F: Wie lange dauert die Ausstellung eines Zertifikats?

Nachdem alle Domain-Namen in einem Zertifikat validiert wurden, kann die Ausstellung eines Zertifikats mehrere Stunden oder länger dauern.

F: Was geschieht, wenn ich ein Zertifikat anfordere?

ACM versucht, den Besitz oder die Kontrolle jedes Domain-Namens in Ihrer Zertifikatsanforderung entsprechend der Validierungsmethode (DNS oder E-Mail) zu validieren, die Sie bei der Anforderung gewählt haben. Der Status der Zertifikatsanforderung ist Pending validation, während ACM zu validieren versucht, ob Sie die Domain besitzen oder kontrollieren. Weitere Informationen über den Validierungsprozess finden Sie in den Abschnitten DNS-Validierung und E-Mail-Validierung unten. Nachdem alle Domain-Namen in der Zertifikatsanforderung validiert wurden, kann die Ausstellung der Zertifikate mehrere Stunden oder länger dauern. Wenn das Zertifikat ausgestellt wurde, wird der Status der Zertifikatsanforderung in Issued geändert und Sie können es mit anderen AWS-Services nutzen, die in ACM integriert sind.

F: Warum lautet der Status meiner Zertifikatsanforderung „Pending validation“?

Zertifikate, die angefordert, aber noch nicht validiert wurden, haben den Status Pending validation. Die Domain in der Zertifikatsanforderung muss validiert werden, bevor das Zertifikat ausgestellt werden kann. Um festzustellen, warum sich Ihre Anforderung in diesem Status befindet, rufen Sie bitte das ACM-Fehlerbehebungshandbuch auf.

F: Warum lautet der Status meiner Zertifikatsanforderung „Failed“?

Der Prozess zum Validieren der Kontrolle über die Domain kann aus unterschiedlichen Gründen fehlschlagen. Unter anderem, weil die Domain in einer Liste mit URLs für Webressourcen enthalten ist, von denen ausgegangen wird, dass sie Malware oder Phishing-Inhalte enthalten. Informationen dazu, warum Ihre Anfrage fehlgeschlagen ist, finden Sie im ACM-Fehlersuchehandbuch.

F: Warum lautet der Status meiner Zertifikatsanforderung „Validation timed out“?

Anforderungen von ACM-Zertifikaten laufen ab, wenn sie nicht innerhalb von 72 Stunden validiert werden. Vorschläge zur Problemlösung finden Sie im ACM-Benutzerhandbuch.

F: Unterstützt ACM die Überprüfung von DNS CAA-Datensätzen (Certificate Authority Authorization)?

Ja. Mit DNS CAA-Datensätzen (Certificate Authority Authorization) können Domain-Besitzer angeben, welche Zertifikatsstellen zur Ausgabe von Zertifikaten für ihre Domain berechtigt sind. Wenn Sie ein ACM-Zertifikat anfordern, sucht AWS Certificate Manager nach einem CAA-Datensatz in der DNS-Zonenkonfiguration für Ihre Domain. Wenn kein CAA-Datensatz vorhanden ist, kann Amazon ein Zertifikat für Ihre Domain ausgeben. Die meisten Kunden gehören zu dieser Kategorie.

Wenn Ihre DNS-Konfiguration einen CAA-Datensatz enthält, muss der Datensatz eine der folgenden CAs angeben, bevor Amazon ein Zertifikat für Ihre Domain ausgeben kann: amazon.com, amazontrust.com, awstrust.com oder amazonaws.com. Weitere Informationen finden Sie unter Konfigurieren eines CAA-Datensatzes oder Fehlersuche bei CAA-Problemen im AWS Certificate Manager-Benutzerhandbuch.

F: Unterstützt ACM andere Methoden zur Validierung einer Domain?

Nein, derzeit nicht.

                                                                 Zurück zum Seitenanfang >>

F: Was ist DNS-Validierung?

Bei der DNS-Validierung können Sie eine Domain als Ihr Eigentum validieren, indem Sie einen CNAME-Datensatz zu Ihrer DNS-Konfiguration hinzufügen. Die DNS-Validierung macht Ihnen die Angabe leicht, dass Sie der Besitzer einer Domain sind, wenn Sie SSL-/TLS-Zertifikate von ACM anfordern.

F: Welche Vorteile bietet die DNS-Validierung?

Die DNS-Validierung erleichtert Ihnen die Validierung, dass Sie eine Domain besitzen oder kontrollieren, sodass Sie ein SSL-/TLS-Zertifikat anfordern können. Bei der DNS-Validierung schreiben Sie lediglich einen CNAME-Datensatz in Ihre DNS-Konfiguration, um die Kontrolle über Ihren Domain-Namen zu erhalten. Um den DNS-Validierungsprozess zu vereinfachen, kann die ACM Management Console DNS-Datensätze für Sie konfigurieren, wenn Sie Ihre DNS-Datensätze mit Amazon Route 53 verwalten. Dadurch lässt sich die Kontrolle über Ihren Domain-Namen auf einfache Weise mit ein paar Mausklicks herstellen. Sobald der CNAME-Datensatz konfiguriert wurde, erneuert ACM automatisch die verwendeten Zertifikate (die mit anderen AWS-Ressourcen verknüpft sind), solange der DNS-Validierungsdatensatz erhalten bleibt. Erneuerungen erfolgen komplett automatisch und berührungslos.

F: Wer sollte die DNS-Validierung verwenden?

Alle, die ein Zertifikat über ACM anfordern und die Möglichkeit haben, die DNS-Konfiguration für die angeforderte Domain zu ändern, sollten eine Verwendung der DNS-Validierung in Betracht ziehen.

F: Unterstützt ACM weiterhin die E-Mail-Validierung?

Ja. ACM unterstützt weiterhin die E-Mail-Validierung für Kunden, die ihre DNS-Konfiguration nicht ändern können.

F: Welche Datensätze muss ich zu meiner DNS-Konfiguration hinzufügen, um eine Domain zu validieren?

Sie müssen einen CNAME-Datensatz für die Domain hinzufügen, die Sie validieren möchten. Um zum Beispiel den Namen www.example.com zu validieren, fügen Sie einen CNAME-Datensatz zur Zone für example.com hinzu. Der von Ihnen hinzugefügte Datensatz enthält ein zufälliges Token, das ACM speziell für Ihre Domain und Ihr AWS-Konto generiert. Sie können die beiden Teile des CNAME-Datensatzes (Name und Label) von ACM anfordern. Weitere Anweisungen finden Sie im ACM-Benutzerhandbuch.

F: Wie kann ich DNS-Datensätze für meine Domain hinzufügen oder ändern?

Weitere Informationen zum Hinzufügen oder Ändern von DNS-Datensätzen erhalten Sie von Ihrem DNS-Anbieter. Die Dokumentation zu Amazon Route 53 DNS enthält weitere Informationen für Kunden, die Amazon Route 53 DNS nutzen.

F: Kann ACM die DNS-Validierung für Kunden von Amazon Route 53 DNS vereinfachen?

Ja. Für Kunden, die DNS-Datensätze mit Amazon Route 53 DNS verwalten, kann die ACM Console Datensätze zu Ihrer DNS-Konfiguration hinzufügen, wenn Sie ein Zertifikat anfordern. Ihre Route 53 DNS-gehostete Zone für Ihre Domain muss im gleichen AWS-Konto wie die dem konfiguriert sein, von dem Sie die Anforderung stellen. Außerdem müssen Sie über ausreichende Berechtigungen verfügen, um Ihre Amazon Route 53-Konfiguration ändern zu können. Weitere Anweisungen finden Sie im ACM-Benutzerhandbuch.

F: Muss ich für die DNS-Validierung einen bestimmten DNS-Anbieter nutzen?

Nein. Sie können die DNS-Validierung mit jedem DNS-Anbieter nutzen, solange Ihnen der Anbieter das Hinzufügen eines CNAME-Datensatzes zu Ihrer DNS-Konfiguration erlaubt.

F: Wie viele DNS-Datensätze brauche ich, wenn ich mehr als ein Zertifikat für die gleiche Domain möchte?

Eine. Sie können mit einem CNAME-Datensatz mehrere Zertifikate für ein und denselben Domain-Namen im selben AWS-Konto anfordern. Wenn Sie zum Beispiel zwei Zertifikatsanforderungen von demselben AWS-Konto für denselben Domain-Namen stellen, benötigen Sie nur einen DNS CNAME-Datensatz.

F: Kann ich mehrere Domain-Namen mit demselben CNAME-Datensatz validieren?

Nein. Jeder Domain-Name muss einen eindeutigen CNAME-Datensatz besitzen.

F: Kann ich einen Platzhalter-Domain-Namen mit der DNS-Validierung validieren?

Ja.

F: Wie werden CNAME-Datensätze von ACM aufgebaut?

DNS CNAME-Datensätze haben zwei Komponenten: einen Namen und ein Label. Die Namenskomponente eines von ACM generierten CNAME besteht aus einem Unterstrich (_), gefolgt von einem Token, bei dem es sich um eine eindeutige Zeichenfolge handelt, die mit Ihrem AWS-Konto und Ihrem Domain-Namen verknüpft ist. ACM stellt den Unterstrich und das Token vor Ihren Domain-Namen, um die Namenskomponente zu bilden. ACM erstellt das Label aus einem Unterstrich, der vor ein anderes Token gestellt wird. Dieses ist ebenfalls mit Ihrem AWS-Konto und Ihrem Domain-Namen verknüpft. ACM stellt den Unterstrich und das Token vor einen DNS-Domain-Namen, der von AWS für Validierungen verwendet wird: acm-validations.aws. Die folgenden Beispiele zeigen die Formatierung von CNAMEs für www.example.com, subdomain.example.com und *.example.com.

_TOKEN1.www.example.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                      CNAME     _TOKEN6.acm-validations.aws

Beachten Sie, dass ACM das Platzhalterzeichen (*) beim Generieren von CNAME-Datensätzen für Platzhalternamen entfernt. Folglich ist der CNAME-Datensatz, den ACM für einen Platzhalternamen (z. B. *.example.com) generiert, der gleiche Datensatz, der für den Domain-Namen ohne das Platzhalterzeichen (example.com) zurückgegeben wird.

F: Kann ich alle Subdomains einer Domain mit einem CNAME-Datensatz validieren?

Nein. Jeder Domain-Name, einschließlich Hostnamen und Subdomain-Namen, müssen getrennt mit jeweils einem eindeutigen CNAME-Datensatz validiert werden.

F: Warum verwendet ACM CNAME-Datensätze für die DNS-Validierung statt TXT-Datensätze?

Durch einen CNAME-Datensatz kann ACM Zertifikate erneuern, solange der CNAME-Datensatz vorhanden ist. Der CNAME-Datensatz leitet auf einen TXT-Datensatz in einer AWS-Domain (acm-validations.aws) weiter, die ACM nach Bedarf aktualisieren kann, um einen Domain-Namen zu validieren oder erneut zu validieren, ohne dass Sie Maßnahmen ergreifen müssen.

F: Funktioniert die DNS-Validierung über AWS-Regionen hinweg?

Ja. Sie können einen DNS CNAME-Datensatz erstellen und mit ihm Zertifikate im selben AWS-Konto in allen AWS-Regionen anfordern, in denen ACM angeboten wird. Wenn Sie den CNAME-Datensatz einmal konfigurieren, können Sie von ACM für diesen Namen Zertifikate ausstellen und erneuern lassen, ohne dass ein neuer Datensatz erstellt wird.

F: Kann ich andere Validierungsmethoden im selben Zertifikat wählen?

Nein. Jedes Zertifikat kann nur über eine Validierungsmethode verfügen.

F: Wie erneuere ich ein Zertifikat, das mit der DNS-Validierung validiert wurde?

ACM erneuert automatisch die verwendeten Zertifikate (die mit anderen AWS-Ressourcen verknüpft sind), solange der DNS-Validierungsdatensatz erhalten bleibt.

F: Kann ich die Berechtigung, Zertifikate für meine Domain auszustellen, widerrufen?

Ja. Entfernen Sie einfach den CNAME-Datensatz. ACM stellt keine Zertifikate für Ihre Domain mithilfe der DNS-Validierung aus bzw. erneuert die Zertifikate nicht, wenn Sie den CNAME-Datensatz entfernen und die Änderung über DNS verteilt wird. Die Verbreitungszeit zum Entfernen des Datensatzes hängt von Ihrem DNS-Anbieter ab.

F: Was geschieht, wenn ich den CNAME-Datensatz entferne?

ACM kann mithilfe der DNS-Validierung keine Zertifikate für Ihre Domain mehr ausstellen oder erneuern, wenn Sie den CNAME-Datensatz entfernen.

Zurück zum Seitenanfang >>

F: Was ist E-Mail-Validierung?

Bei der E-Mail-Validierung wird für jeden Domain-Namen in der Zertifikatsanforderung eine E-Mail mit einer Genehmigungsanforderung an den registrierten Domain-Besitzer gesendet. Der Domain-Besitzer oder ein autorisierter Stellvertreter (der Genehmigende) kann die Zertifikatsanforderung durch Befolgen der Anweisungen in der E-Mail genehmigen. Die Anweisungen leiten den Genehmigenden zum Klicken auf den Link in der E-Mail oder zum Einfügen des Links aus der E-Mail in einen Browser weiter, um zur Genehmigungswebsite zu navigieren. Der Genehmigende überprüft die Informationen, die der Zertifikatsanforderung zugeordnet sind, z. B. Domain-Name, Zertifikats-ID (ARN) und die AWS-Konto-ID, die die Anforderung initiiert, und genehmigt die Anforderung, wenn die Informationen korrekt sind.

F: An welche E-Mail-Adresse wird die Genehmigungsanforderung für das Zertifikat gesendet, wenn ich ein Zertifikat anfordere und die E-Mail-Validierung wähle?

Wenn Sie ein Zertifikat mit der E-Mail-Validierung anfordern, wird eine WHOIS-Suche für jeden Domain-Namen in der Zertifikatsanforderung verwendet, um Kontaktinformationen für die Domain abzurufen. E-Mails werden an den Registrierer der Domain, an den Verwaltungskontakt und an den technischen Kontakt gesendet, die für die Domain aufgeführt sind. E-Mails werden außerdem an fünf Spezial-E-Mailadressen gesendet, die gebildet werden, indem admin@, administrator@, hostmaster@, webmaster@ und postmaster@ dem Domain-Namen vorangestellt werden, den Sie anfordern. Wenn Sie beispielsweise ein Zertifikat von server.example.com anfordern, wird eine E-Mail mit Kontaktinformationen, die von einer WHOIS-Abfrage für die Domain example.com zurückgegeben werden, an den Registrierer der Domain, an den technischen Kontakt und an den Verwaltungskontakt gesendet. Außerdem werden E-Mails an admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com und webmaster@server.example.com gesendet.

Die fünf speziellen E-Mail-Adressen sind für Domain-Namen, die mit „www“ oder Platzhalternamen beginnen, die wiederum mit einem Sternchen (*) anfangen, unterschiedlich konstruiert. ACM entfernt das „www“ bzw. das Sternchen vom Anfang, und eine E-Mail wird an die Verwaltungsadressen gesendet, die sich dadurch bilden, dass dem verbleibenden Teil des Domain-Namens admin@, administrator@, hostmaster@, postmaster@ oder webmaster@ vorangestellt wird. Wenn Sie beispielsweise ein Zertifikat für www.example.com, anfordern, wird eine E-Mail, wie zuvor beschrieben, an die WHOIS-Kontakte und an admin@example.com anstatt an admin@www.example.com gesendet. Die restlichen vier speziellen E-Mail-Adressen werden auf ähnliche Weise gebildet.

Nachdem Sie ein Zertifikat angefordert haben, können Sie die Liste der E-Mail-Adressen anzeigen, an die wir die E-Mail für die einzelnen Domains mit der ACM-Konsole, mit AWS-CLI oder -APIs gesendet haben.

F: Kann ich die E-Mail-Adressen, an die die Zertifikatsgenehmigungsanforderung gesendet wird, konfigurieren?

Nein, aber Sie können den Namen der Basis-Domain konfigurieren, an den die Überprüfungs-E-Mail gesendet werden soll. Der Name der Basis-Domain muss eine übergeordnete Domain des Domain-Namens in der Zertifikatsanforderung sein. Wenn Sie beispielsweise ein Zertifikat für server.domain.example.com anfordern, aber die Genehmigungs-E-Mail an admin@domain.example.com weiterleiten möchten, können Sie dazu die AWS-CLI oder -API verwenden. Weitere Informationen finden Sie in der ACM-CLI-Referenz und in der ACM-API-Referenz.

F: Kann ich Domains verwenden, die über Proxy-Kontaktinformationen (z. B. Privacy Guard oder WhoisGuard) verfügen?

Ja, allerdings kann sich die E-Mail-Zustellung aufgrund des Proxys verzögern. E-Mails, die über einen Proxy gesendet werden, finden Sie möglicherweise in Ihrem Spam-Ordner. Vorschläge zur Problemlösung finden Sie im ACM-Benutzerhandbuch.

F: Kann ACM meine Identität mithilfe des technischen Kontakts für mein AWS-Konto überprüfen?

Nein. Die Verfahrensweisen und Richtlinien für das Überprüfen der Identität des Domain-Besitzers sind sehr streng und werden vom CA-/Browser-Forum bestimmt, das Richtlinienstandards für öffentlich vertrauenswürdige Zertifikatsstellen festlegt. Weitere Informationen erhalten Sie im aktuellen Amazon Trust Services Certification Practices Statement im Amazon Trust Services Repository.

F: Wie sollte ich vorgehen, wenn ich die Genehmigungs-E-Mail nicht erhalten haben?

Vorschläge zur Problemlösung finden Sie im ACM-Benutzerhandbuch.

Zurück zum Seitenanfang >>

F: Vertrauen Browser, Betriebssysteme und Mobilgeräte den von ACM bereitgestellten Zertifikaten?

Die meisten modernen Browser, Betriebssysteme und Mobilgeräte vertrauen von ACM bereitgestellten Zertifikaten. Von ACM bereitgestellte Zertifikate sind in 99 % aller Browser und Betriebssysteme nutzbar, darunter auch Windows XP SP3 sowie Java 6 und neuer.

F: Wie kann ich überprüfen, ob mein Browser den von ACM bereitgestellten Zertifikaten vertraut?

Browser, die den von ACM bereitgestellten Zertifikaten vertrauen, zeigen ein Schlosssymbol an und geben keine Zertifikatswarnungen aus, wenn sie Verbindungen zu Websites herstellen, die von ACM über SSL/TLS bereitgestellte Zertifikate verwenden, z. B. bei Verwendung von HTTPS.

Von ACM bereitgestellte Zertifikate werden von der Zertifikatsstelle (CA) von Amazon überprüft. Jeder Browser, jede Anwendung und jedes Betriebssystem, der/die/das Amazon Root CA 1, Starfield Services Root Certificate Authority – G2 oder Starfield Class 2 Certification Authority umfasst, vertraut von ACM bereitgestellten Zertifikaten.

F: Kann ACM Zertifikate mit mehreren Domain-Namen bereitstellen?

Ja. Jedes Zertifikat muss mindestens einen Domain-Namen enthalten, und Sie können einem Zertifikat ggf. weitere Namen hinzufügen. Sie können einem Zertifikat für „www.example.com“ beispielsweise den Namen „www.example.net“ hinzufügen, wenn Benutzer Ihre Website über beide Namen erreichen können. Sie müssen alle in der Zertifikatsanforderung enthaltenen Namen besitzen oder kontrollieren.

F: Was ist ein Platzhalter-Domain-Name?

Ein Platzhalter-Domain-Name entspricht jeder untergeordneten Domain der ersten Ebene oder jedem Hostnamen in einer Domain. Eine untergeordnete Domain der ersten Ebene ist eine einzelne Bezeichnung für einen Domain-Namen, die keinen Punkt (.) enthält. Sie können zum Beispiel den Namen *.example.com verwenden, um www.example.com, images.example.com und alle anderen Hostnamen oder untergeordneten Domains der ersten Ebene, die auf .example.com enden, zu schützen. Weitere Informationen hierzu finden Sie im ACM-Benutzerhandbuch.

F: Kann ACM Zertifikate mit Platzhalter-Domain-Namen bereitstellen?

Ja.

F: Stellt ACM OV- (Organizational Validation) oder EV-Zertifikate (Extended Validation) bereit?

Nein, derzeit nicht.

F: Stellt ACM Zertifikate für etwas anderes als SSL/TLS für Websites bereit?

Nein, derzeit nicht.

F: Kann ich von ACM bereitgestellte Zertifikate für Codesignierung oder E-Mail-Verschlüsselung verwenden?

Nein.

F: Stellt ACM Zertifikate bereit, die zum Signieren und Verschlüsseln von E-Mails verwendet werden (S/MIME-Zertifikate)?

Nein, derzeit nicht.

F: Welche Algorithmen verwenden Zertifikate, die von ACM bereitgestellt werden?

ACM-Zertifikate verwenden RSA-Schlüssel mit einem 2048-Bit-Modul und SHA-256.

F: Unterstützt ACM ECDSA-Zertifikate (Elliptic Curve)?

Nein, derzeit nicht.

F: Wo erläutert Amazon die Richtlinien und Methoden zum Ausstellen von Zertifikaten?

Sie finden die Erläuterungen in den Dokumenten „Amazon Trust Services Certificate Policies“ und „Amazon Trust Services Certification Practices“. Die aktuellen Versionen finden Sie im Amazon Trust Services Repository.

F: Wie kann ich ein Zertifikat widerrufen?

Sie können den Widerruf eines Zertifikats von ACM anfordern, indem Sie das AWS Support Center besuchen und einen Fall erstellen. 

F: Wie kann ich AWS benachrichtigen, falls sich die Informationen im Zertifikat ändern?

Senden Sie dazu eine E-Mail an AWS. Die Adresse lautet validation-questions[at]amazon.com.

Zurück zum Seitenanfang >>

F: Wie werden die privaten Schlüssel der von ACM bereitgestellten Zertifikate verwaltet?

Für jedes von ACM bereitgestellte Zertifikat wird ein Schlüsselpaar erstellt. AWS Certificate Manager wurde entwickelt, um die mit SSL-/TLS-Zertifikaten verwendeten privaten Schlüssel zu schützen und zu verwalten. Beim Schützen und Speichern privater Schlüssel werden sichere und bewährte Verschlüsselungs- und Schlüsselverwaltungsmethoden verwendet.

F: Kopiert ACM Zertifikate über AWS-Regionen hinweg?

Nein. Der private Schlüssel eines ACM-Zertifikats wird in der Region gespeichert, in der Sie das Zertifikat anfordern. Wenn Sie beispielsweise ein neues Zertifikat in der Region "US East (N. Virginia)" abrufen, speichert ACM den privaten Schlüssel in der Region "N. Virginia". ACM-Zertifikate werden nur regionsübergreifend kopiert, wenn das Zertifikat einer CloudFront-Verteilung zugeordnet ist. In diesem Fall verteilt CloudFront das ACM-Zertifikat an die geografischen Standorte, die für Ihre Verteilung konfiguriert wurden.

F: Kann ich die Verwendung privater Zertifikatsschlüssel überwachen?

Ja. Mithilfe von AWS CloudTrail können Sie Protokolle überprüfen, die Ihnen sagen, wann der private Schlüssel für das Zertifikat verwendet wurde.

Zurück zum Seitenanfang >>

F: Wie wird mir die Nutzung von ACM-Zertifikaten in Rechnung gestellt?

Durch AWS Certificate Manager bereitgestellte und verwaltete SSL-/TLS-Zertifikate sind kostenlos. Sie zahlen nur für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen, z. B. Elastic Load Balancing-Load Balancers oder Amazon CloudFront-Verteilungen.

Zurück zum Seitenanfang >>

F: Kann ich das gleiche Zertifikat mit mehreren Elastic Load Balancing-Load Balancers und mehreren CloudFront-Verteilungen verwenden?

Ja.

F: Kann ich Zertifikate für interne Elastic Load Balancing-Load Balancers ohne öffentlichen Internetzugang verwenden?

Ja. Informationen zum Verarbeiten von Erneuerungen für Zertifikate, die nicht aus dem öffentlichen Internet erreichbar sind, finden Sie unter Verwaltete Erneuerung und Bereitstellung.

F: Funktioniert ein Zertifikat für www.example.com auch für example.com?

Nein. Wenn Sie möchten, dass durch beide Domain-Namen (www.example.com und example.com) auf Ihre Website verwiesen wird, müssen Sie ein Zertifikat anfordern, das beide Namen enthält.

F: Kann ich das Zertifikat eines Dritten importieren und mit AWS-Services verwenden?

Ja. Wenn Sie das Zertifikat eines Drittanbieters mit Amazon CloudFront, Elastic Load Balancing oder Amazon API Gateway verwenden möchten, können Sie dieses mithilfe der AWS-Managementkonsole, AWS-CLI oder ACM-APIs importieren. ACM verwaltet den Erneuerungsprozess für importierte Zertifikate nicht. Sie können die AWS Management Console für die Überwachung des Ablaufdatums eines importierten Zertifikats verwenden und ein neues Zertifikat eines Dritten importieren, um das abgelaufene zu ersetzen.

F: Was ist der Gültigkeitszeitraum für von ACM bereitgestellte Zertifikate?

Von ACM bereitgestellte Zertifikate sind derzeit 13 Monate lang gültig.

F: Wie kann ACM meiner Organisation dabei helfen, Compliance-Anforderungen zu erfüllen?

Mit ACM können Sie gesetzliche Anforderungen leichter einhalten, da Sie problemlos sichere Verbindungen herstellen können – eine häufige Voraussetzung vieler Compliance-Programme wie PCI, FedRAMP und HIPAA. Spezielle Informationen zur Compliance finden Sie unter http://aws.amazon.com/compliance.

F: Besteht für ACM ein Service Level Agreement (SLA)?

Nein, derzeit nicht.

F: Lässt ACM Zeichen der lokalen Sprache in Domain-Namen zu, die auch als Internationalized Domain Names (IDNs) bezeichnet werden?

ACM lässt keine mit Unicode codierte Zeichen lokaler Sprachen zu. ACM lässt aber mit ASCII codierte Zeichen lokaler Sprachen für Domain-Namen zu.

F: Welche Formate für Domain-Namen lässt ACM zu?

ACM lässt nur mit UTF-8 codierte ASCII-Zeichen zu, auch Bezeichnungen mit „xn–“, die häufig als Punycode für Domain-Namen bezeichnet werden. ACM akzeptiert keine Unicode-Eingabe (u-labels) für Domain-Names.

F: Stellt ACM ein sicheres Website-Siegel oder Garantie-Logo bereit, das ich in meine Website integrieren kann?

Nein. Wenn Sie ein Website-Siegel verwenden möchten, erhalten Sie eins von einem Drittanbieter. Wir empfehlen die Auswahl eines Anbieters, der die Sicherheit Ihrer Website, Ihrer Geschäftsmethoden oder beides bewertet und analysiert.

F: Lässt Amazon die Verwendung seiner Markenzeichen oder Logos als Zertifikatsabzeichen, Website-Siegel oder Garantie-Logo zu?

Nein. Siegel und Abzeichen dieses Typs können auf Websites kopiert werden, die den ACM-Service nicht verwenden und unrechtmäßig einsetzen, um Vertrauen unter falschen Voraussetzungen zu schaffen. Zum Schutz unserer Kunden und des Rufes von Amazon lassen wir die Verwendung unseres Logos auf diese Weise nicht zu.

Zurück zum Seitenanfang >>

F: Welche Protokollierungsinformationen stehen aus AWS CloudTrail zur Verfügung?

Sie können identifizieren, welche Benutzer und Konten AWS-APIs für Services, die AWS CloudTrail unterstützen, aufgerufen haben, die Quell-IP-Adresse, von der die Aufrufe ausgingen, und wann die Aufrufe aufgetreten sind. Sie können beispielsweise identifizieren, welcher Benutzer einen API-Aufruf durchgeführt hat, um ein von ACM bereitgestelltes Zertifikat einem Elastic Load Balancer zuzuordnen, und wann der Elastic Load Balancing-Service den Schlüssel mit einem KMS-API-Aufruf entschlüsselt hat.

Zurück zum Seitenanfang >>

F: Was bedeutet die verwaltete Erneuerung und Bereitstellung von ACM?

Die verwaltete Erneuerung und Bereitstellung von ACM verwaltet den Prozess des Erneuerns von SSL-/TLS-Zertifikaten, die von ACM bereitgestellt wurden, und das Bereitstellen von Zertifikaten nach der Erneuerung.

F: Was sind die Vorteile der verwalteten Erneuerung und Bereitstellung von ACM?

ACM verwaltet die Erneuerung und Bereitstellung von SSL-/TLS-Zertifikaten für Sie. ACM sorgt für einen sichereren Ablauf des Konfigurierens und Verwaltens von SSL/TLS für einen sicheren Webservice oder ein Anwendung, als dies bei potenziell fehlerbehafteten manuellen Prozessen der Fall wäre. Die verwaltete Erneuerung und Bereitstellung von kann dazu beitragen, Ausfallzeiten aufgrund von abgelaufenen Zertifikaten zu vermeiden. Für die verwaltete Erneuerung und Bereitstellung von ACM müssen Sie keinen Software-Client oder -Agent auf Ihrer Website installieren oder warten. ACM wird stattdessen als ein in andere AWS-Services integrierter Service ausgeführt. Das bedeutet, dass Sie Zertifikate auf der AWS-Plattform zentral mithilfe der AWS Management Console, AWS-CLI oder -APIs verwalten und bereitstellen können.

F: Welche Zertifikate können automatisch erneuert und bereitgestellt werden?

ACM kann von ACM bereitgestellte Zertifikate ohne zusätzliche Validierung durch den Domain-Besitzer erneuern und bereitstellen. Wenn ein Zertifikat nicht ohne zusätzliche Validierung erneuert werden kann, verwaltet ACM den Erneuerungsprozess durch Validieren des Domain-Besitzes oder der Domain-Kontrolle für jeden Domain-Namen im Zertifikat. Nachdem alle Domain-Namen im Zertifikat validiert wurden, erneuert ACM das Zertifikat und stellt es automatisch mit Ihren AWS-Ressourcen bereit. Wenn ACM den Domain-Besitz nicht validieren kann, teilen wir Ihnen (dem AWS-Kontobesitzer) dies mit.

Wenn Sie die DNS-Validierung in Ihrer Zertifikatsanforderung gewählt haben, kann ACM Ihr Zertifikat ohne einen Eingriff Ihrerseits unbegrenzt erneuern, solange das Zertifikat genutzt wird (d. h. mit anderen AWS-Ressourcen verknüpft ist) und Ihr CNAME-Datensatz vorhanden ist. Wenn Sie bei der Zertifikatsanforderung eine E-Mail-Validierung ausgewählt haben, können Sie die Fähigkeit von ACM, von ACM bereitgestellte Zertifikate automatisch zu erneuern und bereitzustellen, verbessern. Stellen Sie dazu sicher, dass das Zertifikat genutzt wird, dass alle im Zertifikat enthaltenen Domain-Namen zu Ihrer Website aufgelöst werden können und dass alle Domain-Namen über das Internet erreichbar sind.

F: Wann erneuert ACM Zertifikate?

ACM beginnt den Erneuerungsprozess bis zu 60 Tage vor dem Ablaufdatum des Zertifikats. Der Gültigkeitszeitraum für von ACM bereitgestellte Zertifikate ist derzeit 13 Monate. Weitere Informationen zur verwalteten Erneuerung finden Sie im ACM-Benutzerhandbuch.

F: Werde ich benachrichtigt, bevor mein Zertifikat erneuert und das neue Zertifikat bereitgestellt wird?

Nein. ACM kann das Zertifikat ohne vorherige Ankündigung erneuern oder mit einem neuen Schlüssel versehen und das alte ersetzen.

F: Kann ACM Zertifikate mit so genannten „bare Domains“, wie zum Beispiel „example.com“ (auch als „Zone Apex“ oder „naked Domains“ bezeichnet) erneuern?

Wenn Sie die DNS-Validierung in Ihrer Zertifikatsanforderung gewählt haben, kann ACM Ihr Zertifikat ohne weiteren Eingriff Ihrerseits erneuern, solange das Zertifikat genutzt wird (mit anderen AWS-Ressourcen verknüpft ist) und Ihr CNAME-Datensatz vorhanden ist.

Wenn Sie bei der Anforderung eines Zertifikats mit einer "bare Domain" die E-Mail-Validierung ausgewählt haben, stellen Sie sicher, dass eine DNS-Suche der "bare Domain" zu der AWS-Ressource aufgelöst wird, die mit dem Zertifikat verknüpft ist. Das Auflösen der „bare Domain“ zu einer AWS-Ressource kann eine Herausforderung darstellen, sofern Sie nicht Route 53 oder einen anderen DNS-Anbieter verwenden, der Alias-Ressourcendatensätze (oder etwas Entsprechendes) für das Zuweisen von „bare Domains“ zu AWS-Ressourcen unterstützt. Weitere Informationen erhalten Sie im Route 53-Entwicklerhandbuch.

F: Trennt meine Website bestehende Verbindungen, wenn ACM das erneuerte Zertifikat bereitstellt?

Nein, Verbindungen, die nach der Bereitstellung des neuen Zertifikats hergestellt werden, verwenden das neue Zertifikat. Bestehende Verbindungen bleiben davon unberührt.

Zurück zum Seitenanfang >>