Häufig gestellte Fragen zum AWS Certificate Manager

AWS Certificate Manager (ACM) ist ein Service, mit dem Sie öffentliche und private SSL/TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security) auf einfache Weise bereitstellen, verwalten und einsetzen können. SSL/TLS-Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites im Internet sowie von Ressourcen in privaten Netzwerken nachzuweisen. ACM macht den zeitaufwändigen manuellen Prozess des Kaufens, Hochladens und Erneuerns von SSL/TLS-Zertifikaten überflüssig. Mit AWS Certificate Manager können Sie ein Zertifikat schnell anfordern, es auf AWS-Ressourcen wie Elastic Load Balancers, Amazon-CloudFront-Verteilungen oder APIs auf API Gateway bereitstellen und AWS Certificate Manager das Durchführen von Zertifikatserneuerungen überlassen. Sie können diese Zertifikate auch verwenden, um den Datenverkehr auf jeder Workload sicher zu terminieren, die ein öffentliches Zertifikat erfordert, einschließlich solcher, die auf EC2-Instanzen, in Containern und/oder auf On-Premises-Hosts ausgeführt werden. Mit ACM können Sie zudem private Zertifikate für Ihre internen Ressourcen erstellen und den Lebenszyklus der Zertifikate zentral verwalten. Öffentliche und private SSL/TLS-Zertifikate, die über AWS Certificate Manager bereitgestellt und ausschließlich mit ACM-integrierten Services, wie etwa Elastic Load Balancing, Amazon CloudFront und Amazon API Gateway, genutzt werden, sind kostenlos. Wenn Sie sich dafür entscheiden, exportierbare öffentliche Zertifikate auszustellen, fallen Kosten für die Ausstellung und Verlängerung der Zertifikate sowie für die damit verbundene API-Nutzung an. Sie zahlen für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen. Sie bezahlen eine Monatsgebühr für den Betrieb der einzelnen privaten Zertifizierungsstellen bis zu deren Löschung und für die von Ihnen ausgestellten privaten Zertifikate, die Sie nicht ausschließlich mit ACM-integrierten Services verwenden.

SSL-/TLS-Zertifikate ermöglichen Webbrowsern das Identifizieren und Einrichten verschlüsselter Netzwerkverbindungen zu Websites mithilfe des SSL-/TLS-Protokolls (Secure Sockets Layer/Transport Layer Security). Zertifikate werden innerhalb eines kryptografischen Systems verwendet, das als PKI (Public Key Infrastructure, Infrastruktur mit öffentlichen Schlüsseln) bezeichnet wird. Mit PKI kann eine Partei die Identität einer weiteren Partei mit Zertifikaten nachweisen, wenn beide einer dritten Partei, die als Zertifikatsstelle bezeichnet wird, vertrauen. Das Thema Konzepte im ACM-Benutzerhandbuch bietet zusätzliche Hintergrundinformationen und Definitionen.

Private Zertifikate dienen der Identifizierung von Ressourcen innerhalb einer Organisation, z. B. von Anwendungen, Diensten, Geräten und Benutzern. Beim Einrichten eines sicheren, verschlüsselten Kanals verwendet jeder Endpunkt ein Zertifikat und kryptografische Methoden, um dem anderen Endpunkt seine Identität nachzuweisen. Interne API-Endpunkte, Webserver, VPN-Benutzer, IoT-Geräte und viele andere Anwendungen nutzen private Zertifikate für die Einrichtung von verschlüsselten Kommunikationskanälen, die für deren sicheren Betrieb erforderlich sind.

Kunden können mithilfe von sowohl öffentlichen als auch privaten Zertifikaten Ressourcen in Netzwerken identifizieren und die Kommunikation zwischen diesen Ressourcen sichern. Öffentliche Zertifikate identifizieren Ressourcen im öffentlichen Internet, während private Zertifikate dieselbe Aufgabe für private Netzwerke erfüllen. Ein wichtiger Unterschied ist, dass Anwendungen und Browser öffentlichen Zertifikaten automatisch und standardmäßig vertrauen, wohingegen ein Administrator Anwendungen ausdrücklich konfigurieren muss, damit diese auch privaten Zertifikaten vertrauen. Öffentliche CAs, d. h. jene Einrichtungen, die öffentliche Zertifikate ausstellen, müssen strengen Richtlinien folgen, ihre Abläufe transparent gestalten und die Sicherheitsstandards erfüllen, die von den Anbietern der Browser und Betriebssysteme auferlegt werden. Denn die Anbieter entscheiden, welchen Zertifizierungsstellen ihre Browser und Betriebssysteme automatisch vertrauen. Private CAs werden von privaten Organisationen verwaltet, und private CA-Administratoren können ihre eigenen Richtlinien für die Ausstellung privater Zertifikate festlegen. Dazu gehören auch die Verfahren für das Ausstellen von Zertifikaten und die Informationen, die ein Zertifikat enthalten kann. 

Wenn Sie über ACM eine Anforderung für ein öffentliches Zertifikat stellen, können Sie optional festlegen, dass das Zertifikat exportierbar sein soll. Sobald das Zertifikat ausgestellt ist, können Sie es über die AWS-Managementkonsole auswählen und exportieren. Sie werden mit einem Prompt zur Eingabe der Passphrase aufgefordert, die ACM zur Verschlüsselung des privaten Schlüssels verwendet. Anschließend können Sie das Zertifikat, den privaten Schlüssel und die Zertifikatskette herunterladen und speichern und die Bereitstellung des Zertifikats gemäß den für Ihre TLS-Anwendung geltenden Anweisungen durchführen. Sie können diese Schritte automatisieren, indem Sie Code oder Skripte schreiben, die die AWS-SDKs oder die Befehlszeilenschnittstelle (AWS CLI) nutzen.

ACM erleichtert die Aktivierung von SSL/TLS für eine Website oder Anwendung in AWS-, Hybrid- und Multicloud-Umgebungen. ACM macht viele der Prozesse unnötig, die zuvor für und dem Verwalten von SSL-/TLS-Zertifikaten erforderlich waren. ACM kann auch dazu beitragen, Ausfallzeiten aufgrund von falsch konfigurierten, widerrufenen oder abgelaufenen Zertifikaten durch Verwalten von Erneuerungen zu vermeiden. Sie erhalten SSL-/TLS-Schutz und eine einfache Zertifikatsverwaltung. Durch das Aktivieren von SSL/TLS für im Internet zugängliche Seiten kann die Position Ihrer Website in Suchergebnissen verbessert und das Einhalten von regulatorischen Compliance-Anforderungen für das Verschlüsseln von übertragenen Daten vereinfacht werden.

Wenn Sie ACM zur Verwaltung von Zertifikaten verwenden, werden private Schlüssel sicher geschützt und mit zuverlässigen und bewährten Methoden zur Verschlüsselung und Schlüsselverwaltung gespeichert. Mit ACM können Sie die AWS-Managementkonsole, AWS CLI oder ACM-APIs verwenden, um alle SSL/TLS-Zertifikate von ACM in einer AWS-Region zentral zu verwalten. ACM ist in andere AWS-Services integriert, sodass Sie ein SSL/TLS-Zertifikat anfordern und mit Elastic Load Balancing Load Balancer oder Ihrer Amazon-CloudFront-Verteilung aus der AWS-Managementkonsole, durch AWS-CLI-Befehle oder durch API-Aufrufe bereitstellen können.

Mit ACM können Sie den Lebenszyklus Ihrer öffentlichen und privaten Zertifikate verwalten. Die Funktionen von ACM hängen davon ab, ob das Zertifikat öffentlich oder privat ist, wie Sie das Zertifikat abrufen und wo Sie es bereitstellen.

Öffentliche Zertifikate – Sie können in ACM von Amazon ausgestellte öffentliche Zertifikate anfordern. ACM verwaltet die Erneuerung und Bereitstellung von öffentlichen Zertifikaten, die mit ACM-integrierten Services verwendet werden, u. a. Amazon CloudFront, Elastic Load Balancing und Amazon API Gateway.

Exportierbare öffentliche Zertifikate – ACM verwaltet die Verlängerung exportierter öffentlicher Zertifikate, die Sie mit AWS-Services und/oder in Ihren On-Premises-Umgebungen bereitstellen können.

Private Zertifikate – Sie können festlegen, dass die Verwaltung von privaten Zertifikaten auf ACM übertragen wird. Bei Verwendung dieser Option kann ACM private Zertifikate, die mit ACM-integrierten Services wie etwa Amazon CloudFront, Elastic Load Balancing und Amazon API Gateway genutzt werden, automatisch erneuern und bereitstellen. Sie können diese privaten Zertifikate einfach mit der AWS-Managementkonsole, den APIs und der Befehlszeilenschnittstelle (CLI) bereitstellen. Sie können private Zertifikate aus ACM exportieren und diese mit EC2-Instances, Containern, On-Premises-Servern und IoT-Geräten verwenden. AWS Private CA erneuert diese Zertifikate automatisch und versendet eine Amazon-CloudWatch-Benachrichtigung, wenn die Erneuerung abgeschlossen ist. Sie können einen clientseitigen Code schreiben, um erneuerte Zertifikate und private Schlüssel herunterzuladen und diese mit Ihrer Anwendung bereitzustellen.

Importierte Zertifikate – Wenn Sie das Zertifikat eines Drittanbieters mit Amazon CloudFront, Elastic Load Balancing oder Amazon API Gateway verwenden möchten, können Sie dieses mithilfe der AWS-Managementkonsole, AWS-CLI oder mit ACM-APIs importieren. ACM kann importierte Zertifikate nicht erneuern, aber es kann Sie bei der Verwaltung des Erneuerungsprozesses unterstützen. Sie sind verantwortlich für die Überwachung des Ablaufdatums Ihrer importierten Zertifikate und für die Erneuerung vor deren Ablauf. Sie können ACM-CloudWatch-Metriken für die Überwachung des Ablaufdatums eines importierten Zertifikats verwenden und ein neues Zertifikat eines Dritten importieren, um das abgelaufene zu ersetzen.

Navigieren Sie für erste Schritte mit ACM zu Certificate Manager in der AWS-Managementkonsole und verwenden Sie den Assistenten zum Anfordern eines SSL/TLS-Zertifikats. Wenn Sie bereits eine Private CA erstellt haben, können Sie festlegen, ob Sie ein öffentliches oder privates Zertifikat haben möchten, und können dann den Namen Ihrer Website eingeben. Sie können ein Zertifikat auch mit der AWS-CLI oder -API anfordern. Nachdem das Zertifikat ausgestellt wurde, können Sie es mit anderen AWS-Services, die in ACM integriert sind, verwenden. Für jeden integrierten Service wählen Sie einfach das gewünschte SSL-/TLS-Zertifikat aus einer Dropdown-Liste in der AWS-Managementkonsole aus. Sie können auch einen AWS-CLI-Befehl ausführen oder eine AWS-API aufrufen, um das Zertifikat Ihrer Ressource zuzuordnen. Der integrierte Service stellt das Zertifikat dann der ausgewählten Ressource bereit.  Weitere Informationen über das Anfordern und die Nutzung der von ACM bereitgestellten Zertifikate finden Sie im ACM-Benutzerhandbuch. Zusätzlich zur Verwendung von privaten Zertifikaten mit ACM-integrierten Services können Sie private Zertifikate auch auf EC2-Instances, auf ECS-Containern oder mit anderen beliebigen Anwendungen verwenden.

• Elastic Load Balancing – Informationen finden Sie in der Dokumentation zu Elastic Load Balancing
• Amazon CloudFront – Informationen finden Sie in der Dokumentation zu CloudFront
• Amazon API Gateway – Informationen finden Sie in der Dokumentation zu API Gateway
• AWS CloudFormation – Support ist derzeit auf von ACM ausgestellte öffentliche und private Zertifikate beschränkt. Weitere Informationen finden Sie in der Dokumentation zu AWS CloudFormation
• AWS Elastic Beanstalk – siehe Dokumentation zu AWS Elastic Beanstalk
• AWS Nitro Enclaves – Informationen finden Sie in der Dokumentation zu AWS Nitro Enclaves
• AWS Network Firewall – Weitere Informationen finden Sie in der Dokumentation zur AWS Network Firewall
• Amazon OpenSearch Service – Weitere Informationen finden Sie in der Dokumentation zum Amazon OpenSearch Service

Informationen zu den aktuell für AWS-Services verfügbaren Regionen finden Sie auf den Seiten zu AWS Global Infrastructure. Um ein ACM-Zertifikat mit Amazon CloudFront zu verwenden, müssen Sie das Zertifikat in der Region USA Ost (Nord-Virginia) anfordern oder importieren. ACM-Zertifikate in dieser Region, die einer CloudFront-Verteilung zugeordnet sind, werden an alle für diese Verteilung konfigurierten geografischen Standorte verteilt.

ACM verwaltet öffentliche, private und importierte Zertifikate. Erfahren Sie mehr über ACM-Funktionen unter Ausstellen und Verwalten von Zertifikaten.

Ja. Jedes Zertifikat muss mindestens einen Domain-Namen enthalten, und Sie können einem Zertifikat ggf. weitere Namen hinzufügen. Sie können einem Zertifikat für „www.example.com“ beispielsweise den Namen „www.example.net“ hinzufügen, wenn Benutzer Ihre Website über beide Namen erreichen können. Sie müssen alle in der Zertifikatsanforderung enthaltenen Namen besitzen oder kontrollieren. 

Ein Platzhalter-Domain-Name entspricht jeder untergeordneten Domain der ersten Ebene oder jedem Hostnamen in einer Domain. Eine untergeordnete Domain der ersten Ebene ist eine einzelne Bezeichnung für einen Domain-Namen, die keinen Punkt (.) enthält. Sie können zum Beispiel den Namen *.example.com verwenden, um www.example.com, images.example.com und alle anderen Hostnamen oder untergeordneten Domänen der ersten Ebene, die auf .example.com enden, zu schützen. Weitere Informationen finden Sie im ACM-Benutzerhandbuch.

Ja.

Nein.

Nein.

Nein.

Über ACM ausgestellte öffentliche Zertifikate sind 198 Tage lang gültig. Wenn Sie private Zertifikate direkt von einer Private CA ausstellen und die Schlüssel und Zertifikate ohne die Verwendung von ACM zur Zertifikatverwaltung selbst verwalten, können Sie einen beliebigen Gültigkeitszeitraum wählen, z. B. ein definitives Enddatum oder einen relativen Zeitraum wie etwa Tage, Monate oder Jahre ab dem aktuellen Zeitpunkt.

Ja, AWS Certificate Manager (ACM) wird kürzere Gültigkeitsdauer für öffentliche Zertifikate einführen, um den Anforderungen des Certificate Authority/Browser Forum (CA/Browser Forum) für TLS-Zertifikate zu entsprechen. ACM bietet bereits eine automatische Abwicklung von Zertifikatsverlängerungen sowie Funktionen, die Sie benachrichtigen, sobald neue Zertifikate für die Bereitstellung bereitstehen.  Amazon Trust Services ist aktives Mitglied des CA/Browser-Forums, in dem die Standards für öffentlich vertrauenswürdige TLS-Zertifikate festgelegt werden. Um die Anforderungen des CA/Browser-Forums zu erfüllen, wird Amazon Trust Services die maximale Gültigkeitsdauer von TLS-Zertifikaten gemäß dem folgenden Zeitplan durchsetzen:

• Ab heute bis zum 15. März 2027 beträgt die maximale Gültigkeitsdauer für ein ausgestelltes öffentliches TLS-Zertifikat 198 Tage. Dies ist eine Verkürzung gegenüber der bisherigen Lebensdauer von 395 Tagen.
• Ab dem 15. März 2027 beträgt die maximale Gültigkeitsdauer eines ausgestellten öffentlichen TLS-Zertifikats weniger als 100 Tage.
• Ab dem 15. März 2029 beträgt die maximale Gültigkeitsdauer eines ausgestellten öffentlichen TLS-Zertifikats weniger als 47 Tage.

Falls Sie exportierbare öffentliche Zertifikate von ACM verwenden, haben wir Verständnis für Ihre Bedenken hinsichtlich möglicher Kostensteigerungen, die sich aus der Verlängerung der maximalen Gültigkeitsdauer der Zertifikate ergeben. AWS ist bestrebt, faire Preise für über ACM ausgestellte Zertifikate beizubehalten. Da sich die Branchenstandards ändern, planen wir, unsere Preisstruktur entsprechend anzupassen, um die jährlichen Kosten für Zertifikate auf dem aktuellen Niveau zu halten. Aufgrund der Verkürzung der Gültigkeitsdauer von 395 auf 198 Tage haben wir unsere Preise von 149 USD pro Wildcard-Name und 15 USD pro FQDN auf 79 USD bzw. 7 USD gesenkt. Die aktuellen Preise finden Sie auf unserer Preisseite.

In ACM ausgestellte Zertifikate verwenden RSA-Schlüssel mit einem 2048-Bit-Modul und SHA-256. Zusätzlich können Sie Elliptic Curve Digital Signature Algorithm (ECDSA)-Zertifikate mit P-256 oder P-384 anfordern. Erfahren Sie mehr über Algorithmen im ACM-Benutzerhandbuch.

Sie können den Widerruf eines öffentlichen Zertifikats von ACM anfordern, indem Sie das AWS Support Center besuchen und einen Fall erstellen. Exportierbare öffentliche Zertifikate können mithilfe der revoke-certificate-API widerrufen werden. Weitere Informationen zum Widerruf eines privaten Zertifikats, das von Ihrer AWS Private CA ausgestellt wurde, finden Sie im Benutzerhandbuch für AWS Private CA.

Nein. ACM-Zertifikate müssen in der selben Region sein, in der sich die genutzten Ressourcen befinden. Die einzige Ausnahme ist Amazon CloudFront, ein globaler Service, der Zertifikate in der Region USA Ost (Nord-Virginia) erfordert. ACM-Zertifikate in dieser Region, die einer CloudFront-Verteilung zugeordnet sind, werden an alle für diese Verteilung konfigurierten geografischen Standorte verteilt.

Ja.

Optional können Sie exportierbare öffentliche Zertifikate ausstellen, die Sie mit integrierten Services verwenden und zur Nutzung mit beliebigen Workloads exportieren können, die ein TLS-Zertifikat erfordern. Diese Workloads können sich innerhalb von AWS befinden, beispielsweise ein auf EC2 ausgeführter Server, oder außerhalb von AWS, beispielsweise ein Server On-Premises. Sie können auch private Zertifikate verwenden, die mit Private CA mit EC2-Instances, Containern und auf Ihren eigenen Servern ausgestellt wurden. 

ACM lässt keine mit Unicode codierte Zeichen lokaler Sprachen zu. ACM lässt aber mit ASCII codierte Zeichen lokaler Sprachen für Domain-Namen zu.

ACM lässt nur mit UTF-8 codierte ASCII-Zeichen zu, auch Bezeichnungen mit „xn–“, die häufig als Punycode für Domain-Namen bezeichnet werden. ACM akzeptiert keine Unicode-Eingabe (u-labels) für Domänen-Namen.

Ja. Wenn Sie das Zertifikat eines Drittanbieters mit Amazon CloudFront, Elastic Load Balancing oder Amazon API Gateway verwenden möchten, können Sie dieses mithilfe der AWS-Managementkonsole, AWS-CLI oder ACM-APIs importieren. ACM verwaltet den Erneuerungsprozess für importierte Zertifikate nicht. Sie können die AWS-Managementkonsole für die Überwachung des Ablaufdatums eines importierten Zertifikats verwenden und ein neues Zertifikat eines Dritten importieren, um das abgelaufene zu ersetzen.

Kunden können mithilfe von sowohl öffentlichen als auch privaten Zertifikaten Ressourcen in Netzwerken identifizieren und die Kommunikation zwischen diesen Ressourcen sichern. Öffentliche Zertifikate identifizieren Ressourcen im Internet.

ACM stellt öffentliche DV-Zertifikate (Domain Validated, Domain-validiert) zur Verwendung mit Websites und Anwendungen bereit, die SSL/TLS beenden. Weitere Informationen zu ACM-Zertifikaten finden Sie unter Merkmale von Zertifikaten.

Öffentliche ACM-Zertifikate sind für die meisten modernen Browser, Betriebssysteme und mobilen Geräte vertrauenswürdig. Von ACM bereitgestellte Zertifikate sind in 99 % aller Browser und Betriebssysteme nutzbar, darunter auch Windows XP SP3 sowie Java 6 und neuer.

Browser, die ACM-Zertifikaten vertrauen, zeigen ein Schloss-Symbol an und geben keine Zertifikatswarnungen aus, wenn sie Verbindungen zu Websites herstellen, die ACM-Zertifikate über SSL/TLS verwenden, z. B. bei Verwendung von HTTPS.

Öffentliche ACM-Zertifikate werden von der Zertifizierungsstelle (CA) von Amazon überprüft. Jeder Browser, jede Anwendung oder jedes Betriebssystem, das Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority – G2 enthält, vertraut ACM-Zertifikaten. Weitere Informationen zu Root-CAs finden Sie im Amazon Trust Services Repository.

Nein.

Sie finden die Erläuterungen in den Dokumenten Amazon Trust Services Certificate Policies und Amazon Trust Services Certification Practices. Die aktuellen Versionen finden Sie im Amazon Trust Services Repository.

Nein. Wenn Sie möchten, dass durch beide Domain-Namen (www.example.com und example.com) auf Ihre Website verwiesen wird, müssen Sie ein Zertifikat anfordern, das beide Namen enthält.

Mit ACM können Sie gesetzliche Anforderungen leichter einhalten, da Sie problemlos sichere Verbindungen herstellen können – eine häufige Voraussetzung vieler Compliance-Programme wie PCI, FedRAMP und HIPAA. Spezielle Informationen zur Compliance finden Sie unter http://aws.amazon.com/compliance.

Nein, ACM hat kein SLA.

Nein. Wenn Sie ein Website-Siegel verwenden möchten, erhalten Sie eins von einem Drittanbieter. Wir empfehlen die Auswahl eines Anbieters, der die Sicherheit Ihrer Website, Ihrer Geschäftsmethoden oder beides bewertet und analysiert.

Nein. Siegel und Abzeichen dieses Typs können auf Websites kopiert werden, die den ACM-Service nicht verwenden und unrechtmäßig einsetzen, um Vertrauen unter falschen Voraussetzungen zu schaffen. Zum Schutz unserer Kunden und des Rufes von Amazon lassen wir die Verwendung unseres Logos auf diese Weise nicht zu.

Sie können die AWS-Managementkonsole, AWS-CLI oder ACM-APIs/-SDKs verwenden. Navigieren Sie zur Verwendung der AWS-Managementkonsole zum Certificate Manager, wählen Sie Zertifikat anfordern aus, wählen Sie Öffentliches Zertifikat anfordern aus, geben Sie den Domain-Namen für Ihre Website ein und folgen Sie dann den Anweisungen auf dem Bildschirm, um Ihre Anforderung abzuschließen. Sie können Ihrer Anforderung zusätzliche Domain-Namen hinzufügen, wenn Benutzer Ihre Website über andere Namen erreichen können. Bevor ACM ein Zertifikat ausstellen kann, validiert es, ob Sie die Domain-Namen in Ihrer Zertifikatsanforderung besitzen oder kontrollieren. Sie können bei der Anforderung eines Zertifikats zwischen einer DNS-Validierung und einer E-Mail-Validierung wählen. Bei der DNS-Validierung schreiben Sie einen Datensatz in die öffentliche DNS-Konfiguration für Ihre Domain, um anzugeben, dass Sie die Domain besitzen oder kontrollieren. Nachdem Sie die DNS-Validierung zum Herstellen der Kontrolle über Ihre Domain verwendet haben, können Sie weitere Zertifikate erhalten und ACM bestehende Zertifikate für die Domain erneuern lassen, solange der Datensatz erhalten bleibt und das Zertifikat genutzt wird. Sie brauchen die Kontrolle über die Domain nicht erneut zu validieren. Wenn Sie die E-Mail-Validierung anstelle der DNS-Validierung wählen, werden E-Mails an den Domain-Besitzer gesendet, um eine Genehmigung zur Ausstellung des Zertifikats anzufordern. Nachdem Sie den Besitz oder die Kontrolle der einzelnen Domain-Namen in Ihrer Anforderung validiert haben, wird das Zertifikat ausgestellt und kann mit anderen AWS-Services, zum Beispiel Elastic Load Balancing oder Amazon CloudFront, bereitgestellt werden.

Optional können Sie exportierbare öffentliche Zertifikate ausstellen, die Sie mit integrierten Services verwenden und zur Nutzung mit beliebigen Workloads exportieren können, die ein TLS-Zertifikat erfordern. Diese Workloads können sich innerhalb von AWS befinden, beispielsweise ein auf EC2 ausgeführter Server, oder außerhalb von AWS, beispielsweise ein Server On-Premises. Weitere Informationen finden Sie in der ACM-Dokumentation.

Zertifikate werden verwendet, um die Identität Ihrer Website nachzuweisen und die Verbindung zwischen Browsern und Anwendungen und Ihrer Website zu sichern. Zum Ausstellen eines öffentlichen vertrauenswürdigen Zertifikats muss Amazon bestätigen, dass der Anforderer des Zertifikats die Kontrolle über den Domain-Namen in der Zertifikatsanforderung besitzt.

Vor der Ausstellung eines Zertifikats validiert ACM, ob Sie die Domain-Namen in Ihrer Zertifikatsanforderung besitzen oder kontrollieren. Sie können bei der Anforderung eines Zertifikats zwischen einer DNS-Validierung und einer E-Mail-Validierung wählen. Bei einer DNS-Validierung können Sie den Domain-Besitz validieren, indem Sie einen CNAME-Datensatz zu Ihrer DNS-Konfiguration hinzufügen. Weitere Informationen finden Sie unter DNS-Validierung. Wenn Sie keine Datensätze in die öffentliche DNS-Konfiguration für Ihre Domain schreiben können, können Sie eine E-Mail-Validierung anstelle der DNS-Validierung verwenden. Bei der E-Mail-Validierung sendet ACM E-Mails an den registrierten Domain-Besitzer; der Besitzer bzw. ein autorisierter Vertreter kann die Ausstellung für jeden Domain-Namen in der Zertifikatsanforderung genehmigen. Weitere Informationen finden Sie unter E-Mail-Validierung. Wenn Sie Zertifikate für die Verwendung mit dem Amazon CloudFront SaaS Manager ausstellen, stellt ACM automatisch HTTP-validierte Zertifikate aus. Weitere Informationen finden Sie unter HTTP-Validierung.

Wenn Sie Zertifikate direkt über ACM ausstellen, empfehlen wir Ihnen, die DNS-Validierung zu nutzen, sofern Sie die Möglichkeit haben, die DNS-Konfiguration Ihrer Domain zu ändern. Kunden, die keine Validierungs-E-Mails von ACM empfangen können, und Kunden, die einen Domain-Registrar verwenden, der keine E-Mail-Kontaktinformationen des Domain-Besitzers in WHOIS veröffentlicht, sollten die DNS-Validierung verwenden. Wenn Sie Ihre DNS-Konfiguration nicht ändern können, sollten Sie die E-Mail-Validierung verwenden.

Wenn Sie Zertifikate für die Verwendung mit dem Amazon CloudFront SaaS Manager benötigen, stellt ACM im Rahmen des CloudFront-Bereitstellungsprozesses automatisch HTTP-validierte Zertifikate bereit.

Nein, Sie können aber ein neues, kostenloses Zertifikat von ACM anfordern und für das neue Zertifikat die DNS-Validierung wählen.

Nachdem alle Domain-Namen in einem Zertifikat validiert wurden, kann die Ausstellung eines Zertifikats mehrere Stunden oder länger dauern.

ACM versucht, den Besitz oder die Kontrolle jedes Domain-Namens in Ihrer Zertifikatsanforderung entsprechend der Validierungsmethode (DNS oder E-Mail) zu validieren, die Sie bei der Anforderung gewählt haben. Der Status der Zertifikatsanforderung ist ausstehende Validierung, während ACM zu validieren versucht, ob Sie die Domain besitzen oder kontrollieren. Weitere Informationen über den Validierungsprozess finden Sie nachfolgend in den Abschnitten DNS-Validierung und E-Mail-Validierung. Nachdem alle Domain-Namen in der Zertifikatsanforderung validiert wurden, kann die Ausstellung der Zertifikate mehrere Stunden oder länger dauern. Wenn das Zertifikat ausgestellt wurde, wird der Status der Zertifikatsanforderung in Issued geändert und Sie können es mit anderen AWS-Services nutzen, die in ACM integriert sind.

Ja. Mit DNS CAA-Datensätzen (Certificate Authority Authorization) können Domain-Besitzer angeben, welche Zertifikatsstellen zur Ausgabe von Zertifikaten für ihre Domain berechtigt sind. Wenn Sie ein ACM-Zertifikat anfordern, sucht AWS Certificate Manager nach einem CAA-Datensatz in der DNS-Zonenkonfiguration für Ihre Domain. Wenn kein CAA-Datensatz vorhanden ist, kann Amazon ein Zertifikat für Ihre Domain ausgeben. Die meisten Kunden gehören zu dieser Kategorie.

Wenn Ihre DNS-Konfiguration einen CAA-Datensatz enthält, muss der Datensatz eine der folgenden CAs angeben, bevor Amazon ein Zertifikat für Ihre Domain ausgeben kann: amazon.com, amazontrust.com, awstrust.com oder amazonaws.com. Weitere Informationen finden Sie unter Konfigurieren eines CAA-Datensatzes oder Fehlersuche bei CAA-Problemen im Benutzerhandbuch für AWS Certificate Manager.

Bei der DNS-Validierung können Sie eine Domain als Ihr Eigentum validieren, indem Sie einen CNAME-Datensatz zu Ihrer DNS-Konfiguration hinzufügen. Die DNS-Validierung macht Ihnen die Angabe leicht, dass Sie der Besitzer einer Domain sind, wenn Sie öffentliche SSL-/TLS-Zertifikate von ACM anfordern.

Die DNS-Validierung erleichtert Ihnen die Validierung, dass Sie eine Domain besitzen oder kontrollieren, sodass Sie ein SSL-/TLS-Zertifikat anfordern können. Bei der DNS-Validierung schreiben Sie lediglich einen CNAME-Datensatz in Ihre DNS-Konfiguration, um die Kontrolle über Ihren Domain-Namen zu erhalten. Um den DNS-Validierungsprozess zu vereinfachen, kann die ACM Management Console DNS-Datensätze für Sie konfigurieren, wenn Sie Ihre DNS-Datensätze mit Amazon Route 53 verwalten. Dadurch lässt sich die Kontrolle über Ihren Domain-Namen auf einfache Weise mit ein paar Mausklicks herstellen. Sobald der CNAME-Datensatz konfiguriert wurde, erneuert ACM automatisch die verwendeten Zertifikate (die mit anderen AWS-Ressourcen verknüpft sind), solange der DNS-Validierungsdatensatz erhalten bleibt. Erneuerungen erfolgen komplett automatisch und berührungslos.

Alle, die ein Zertifikat über ACM anfordern und die Möglichkeit haben, die DNS-Konfiguration für die angeforderte Domain zu ändern, sollten eine Verwendung der DNS-Validierung in Betracht ziehen.

Ja. ACM unterstützt weiterhin die E-Mail-Validierung für Kunden, die ihre DNS-Konfiguration nicht ändern können.

Sie müssen einen CNAME-Datensatz für die Domain hinzufügen, die Sie validieren möchten. Um zum Beispiel den Namen www.example.com zu validieren, fügen Sie einen CNAME-Datensatz zur Zone für example.com hinzu. Der von Ihnen hinzugefügte Datensatz enthält ein zufälliges Token, das ACM speziell für Ihre Domäne und Ihr AWS-Konto generiert. Sie können die beiden Teile des CNAME-Datensatzes (Name und Label) von ACM anfordern. Weitere Anweisungen finden Sie im ACM-Benutzerhandbuch.

Weitere Informationen zum Hinzufügen oder Ändern von DNS-Datensätzen erhalten Sie von Ihrem DNS-Anbieter. Die Dokumentation zu Amazon Route 53 DNS enthält weitere Informationen für Kunden, die Amazon Route 53 DNS nutzen.

Ja. Für Kunden, die DNS-Datensätze mit Amazon Route 53 DNS verwalten, kann die ACM-Konsole Datensätze zu Ihrer DNS-Konfiguration hinzufügen, wenn Sie ein Zertifikat anfordern. Ihre Route 53 DNS-gehostete Zone für Ihre Domain muss im gleichen AWS-Konto wie die dem konfiguriert sein, von dem Sie die Anforderung stellen. Außerdem müssen Sie über ausreichende Berechtigungen verfügen, um Ihre Amazon Route 53-Konfiguration ändern zu können. Weitere Anweisungen finden Sie im ACM-Benutzerhandbuch.

Nein. Sie können die DNS-Validierung mit jedem DNS-Anbieter nutzen, solange Ihnen der Anbieter das Hinzufügen eines CNAME-Datensatzes zu Ihrer DNS-Konfiguration erlaubt.

Eine. Sie können mit einem CNAME-Datensatz mehrere Zertifikate für ein und denselben Domain-Namen im selben AWS-Konto anfordern. Wenn Sie zum Beispiel zwei Zertifikatsanforderungen von demselben AWS-Konto für denselben Domain-Namen stellen, benötigen Sie nur einen DNS CNAME-Datensatz.

Nein. Jeder Domain-Name muss einen eindeutigen CNAME-Datensatz besitzen.

Ja.

DNS CNAME-Datensätze haben zwei Komponenten: einen Namen und ein Label. Die Namenskomponente eines von ACM generierten CNAME besteht aus einem Unterstrich (_), gefolgt von einem Token, bei dem es sich um eine eindeutige Zeichenfolge handelt, die mit Ihrem AWS-Konto und Ihrem Domain-Namen verknüpft ist. ACM stellt den Unterstrich und das Token vor Ihren Domain-Namen, um die Namenskomponente zu bilden. ACM erstellt das Label aus einem Unterstrich, der vor ein anderes Token gestellt wird. Dieses ist ebenfalls mit Ihrem AWS-Konto und Ihrem Domain-Namen verknüpft. ACM stellt den Unterstrich und das Token vor einen DNS-Domain-Namen, der von AWS für Validierungen verwendet wird: acm-validations.aws. Die folgenden Beispiele zeigen die Formatierung von CNAMEs für www.example.com, subdomain.example.com und *.example.com.

_TOKEN1.www.example.com        CNAME    _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME    _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Beachten Sie, dass ACM das Platzhalterzeichen (*) beim Generieren von CNAME-Datensätzen für Platzhalternamen entfernt. Folglich ist der CNAME-Datensatz, den ACM für einen Platzhalternamen (z. B. *.example.com) generiert, der gleiche Datensatz, der für den Domain-Namen ohne das Platzhalterzeichen (example.com) zurückgegeben wird.

Nein. Jeder Domain-Name, einschließlich Hostnamen und Subdomain-Namen, müssen getrennt mit jeweils einem eindeutigen CNAME-Datensatz validiert werden.

Durch einen CNAME-Datensatz kann ACM Zertifikate erneuern, solange der CNAME-Datensatz vorhanden ist. Der CNAME-Datensatz leitet auf einen TXT-Datensatz in einer AWS-Domain (acm-validations.aws) weiter, die ACM nach Bedarf aktualisieren kann, um einen Domain-Namen zu validieren oder erneut zu validieren, ohne dass Sie Maßnahmen ergreifen müssen.

Ja. Sie können einen DNS CNAME-Datensatz erstellen und mit ihm Zertifikate im selben AWS-Konto in allen AWS-Regionen anfordern, in denen ACM angeboten wird. Wenn Sie den CNAME-Datensatz einmal konfigurieren, können Sie von ACM für diesen Namen Zertifikate ausstellen und erneuern lassen, ohne dass ein neuer Datensatz erstellt wird.

Nein. Jedes Zertifikat kann nur über eine Validierungsmethode verfügen.

ACM erneuert automatisch die verwendeten Zertifikate (die mit anderen AWS-Ressourcen verknüpft sind), solange der DNS-Validierungsdatensatz erhalten bleibt.

Ja. Entfernen Sie einfach den CNAME-Datensatz. ACM stellt keine Zertifikate für Ihre Domain mithilfe der DNS-Validierung aus bzw. erneuert die Zertifikate nicht, wenn Sie den CNAME-Datensatz entfernen und die Änderung über DNS verteilt wird. Die Verbreitungszeit zum Entfernen des Datensatzes hängt von Ihrem DNS-Anbieter ab.

ACM kann mithilfe der DNS-Validierung keine Zertifikate für Ihre Domain mehr ausstellen oder erneuern, wenn Sie den CNAME-Datensatz entfernen.

Bei der E-Mail-Validierung wird für jeden Domain-Namen in der Zertifikatsanforderung eine E-Mail mit einer Genehmigungsanforderung an den registrierten Domain-Besitzer gesendet. Der Domain-Besitzer oder ein autorisierter Stellvertreter (der Genehmigende) kann die Zertifikatsanforderung durch Befolgen der Anweisungen in der E-Mail genehmigen. Die Anweisungen leiten den Genehmigenden zum Klicken auf den Link in der E-Mail oder zum Einfügen des Links aus der E-Mail in einen Browser weiter, um zur Genehmigungswebsite zu navigieren. Der Genehmigende überprüft die Informationen, die der Zertifikatsanforderung zugeordnet sind, z. B. Domain-Name, Zertifikats-ID (ARN) und die AWS-Konto-ID, die die Anforderung initiiert, und genehmigt die Anforderung, wenn die Informationen korrekt sind.

ACM sendet Validierungs-E-Mails an fünf allgemeine System-E-Mails für jede Domain, die dadurch gebildet werden, dass admin@, administrator@, hostmaster@, webmaster@ und postmaster@ dem Domainnamen, den Sie anfordern, vorangestellt werden. ACM unterstützt die WHOIS-E-Mail-Validierung für neue Zertifikate oder Verlängerungen nicht mehr.

Die fünf speziellen E-Mail-Adressen sind für Domain-Namen, die mit „www“ oder Platzhalternamen beginnen, die wiederum mit einem Sternchen (*) anfangen, unterschiedlich konstruiert. ACM entfernt das „www“ bzw. das Sternchen vom Anfang, und eine E-Mail wird an die Verwaltungsadressen gesendet, die sich dadurch bilden, dass dem verbleibenden Teil des Domain-Namens admin@, administrator@, hostmaster@, postmaster@ oder webmaster@ vorangestellt wird.

Nachdem Sie ein Zertifikat angefordert haben, können Sie die Liste der E-Mail-Adressen anzeigen, an die wir die E-Mail für die einzelnen Domains mit der ACM-Konsole, mit AWS-CLI oder -APIs gesendet haben.

Nein, aber Sie können den Namen der Basis-Domain konfigurieren, an den die Überprüfungs-E-Mail gesendet werden soll. Der Name der Basis-Domain muss eine übergeordnete Domain des Domain-Namens in der Zertifikatsanforderung sein. Wenn Sie beispielsweise ein Zertifikat für server.domain.example.com anfordern, aber die Genehmigungs-E-Mail an admin@domain.example.com weiterleiten möchten, können Sie dazu die AWS-CLI oder -API verwenden. Weitere Informationen finden Sie in der ACM-CLI-Referenz und in der ACM-API-Referenz.

Ja, allerdings kann sich die E-Mail-Zustellung aufgrund des Proxys verzögern. E-Mails, die über einen Proxy gesendet werden, finden Sie möglicherweise in Ihrem Spam-Ordner. Vorschläge zur Problemlösung finden Sie im ACM-Benutzerhandbuch.

Die Verfahrensweisen und Richtlinien für das Überprüfen der Identität des Domain-Besitzers sind sehr streng und werden vom CA-/Browser-Forum bestimmt, das Richtlinienstandards für öffentlich vertrauenswürdige Zertifikatsstellen festlegt. Weitere Informationen erhalten Sie im aktuellen Amazon Trust Services Certification Practices Statement im Amazon Trust Services Repository.

Vorschläge zur Problemlösung finden Sie im ACM-Benutzerhandbuch.

Für jedes von ACM bereitgestellte Zertifikat wird ein Schlüsselpaar erstellt. ACM wurde entwickelt, um die mit SSL/TLS-Zertifikaten verwendeten privaten Schlüssel zu schützen und zu verwalten. Beim Schützen und Speichern privater Schlüssel werden sichere und bewährte Methoden zur Verschlüsselung und Schlüsselverwaltung verwendet.

Nein. Der private Schlüssel eines ACM-Zertifikats wird in der Region gespeichert, in der Sie das Zertifikat anfordern. Wenn Sie beispielsweise ein neues Zertifikat in der Region "US East (N. Virginia)" abrufen, speichert ACM den privaten Schlüssel in der Region "N. Virginia". ACM-Zertifikate werden nur regionsübergreifend kopiert, wenn das Zertifikat einer CloudFront-Verteilung zugeordnet ist. In diesem Fall verteilt CloudFront das ACM-Zertifikat an die geografischen Standorte, die für Ihre Verteilung konfiguriert wurden.

Die verwaltete Erneuerung und Bereitstellung von ACM verwaltet den Prozess des Erneuerns von SSL-/TLS-Zertifikaten von ACM und das Bereitstellen von Zertifikaten nach der Erneuerung.

ACM kann die Erneuerung und Bereitstellung von SSL-/TLS-Zertifikaten für Sie verwalten. ACM sorgt für einen sichereren Ablauf des Konfigurierens und Verwaltens von SSL/TLS für einen sicheren Webservice oder ein Anwendung, als dies bei potenziell fehlerbehafteten manuellen Prozessen der Fall wäre. Die verwaltete Erneuerung und Bereitstellung von kann dazu beitragen, Ausfallzeiten aufgrund von abgelaufenen Zertifikaten zu vermeiden. ACM wird als ein in andere AWS-Services integrierter Service ausgeführt. Optional können Sie exportierbare öffentliche Zertifikate ausstellen, die Sie mit integrierten AWS-Services verwenden und zur Nutzung mit beliebigen Workloads exportieren können, die ein TLS-Zertifikat erfordern. Das bedeutet, dass Sie Zertifikate in AWS mithilfe der AWS-Managementkonsole, der AWS-CLI oder von APIs zentral verwalten und bereitstellen können. Mit Private CA können Sie private Zertifikate erstellen und diese exportieren. ACM erneuert exportierte Zertifikate, welche somit durch Ihren clientseitigen Code heruntergeladen und bereitgestellt werden können.

Öffentliche Zertifikate

ACM kann öffentliche ACM-Zertifikate ohne zusätzliche Validierung durch den Domain-Besitzer erneuern und bereitstellen. Wenn ein Zertifikat nicht ohne zusätzliche Validierung erneuert werden kann, verwaltet ACM den Erneuerungsprozess durch Validieren des Domain-Besitzes oder der Domain-Kontrolle für jeden Domain-Namen im Zertifikat. Nachdem alle Domain-Namen im Zertifikat validiert wurden, erneuert ACM das Zertifikat und stellt es automatisch mit Ihren AWS-Ressourcen bereit. Wenn ACM den Domain-Besitz nicht validieren kann, teilen wir Ihnen (dem AWS-Kontobesitzer) dies mit.

Wenn Sie die DNS-Validierung in Ihrer Zertifikatsanforderung gewählt haben, kann ACM Ihr Zertifikat ohne einen Eingriff Ihrerseits unbegrenzt erneuern, solange das Zertifikat genutzt wird (d. h. mit anderen AWS-Ressourcen verknüpft ist) und Ihr CNAME-Datensatz vorhanden ist. Wenn Sie bei der Zertifikatsanforderung die E-Mail-Validierung ausgewählt haben, können Sie die Fähigkeit von ACM, ACM-Zertifikate automatisch zu erneuern und bereitzustellen, verbessern. Stellen Sie dazu sicher, dass das Zertifikat genutzt wird, dass alle im Zertifikat enthaltenen Domain-Namen zu Ihrer Website aufgelöst werden können und dass alle Domain-Namen über das Internet erreichbar sind.

Private Zertifikate

ACM bietet zwei Möglichkeiten zur Verwaltung von privaten Zertifikaten, die mit AWS Private CA ausgestellt wurden. ACM bietet je nach Art der Verwaltung Ihrer privaten Zertifikate verschiedene Erneuerungs- und Bereitstellungsfunktionen. Für jedes private Zertifikat, das Sie ausstellen, können Sie die beste Verwaltungsoption auswählen.

1) ACM kann die Erneuerung und Bereitstellung von privaten Zertifikaten, die mit AWS Private CAs ausgestellt und mit ACM-integrierten Services wie etwa Elastic Load Balancing und API Gateway verwendet werden, vollständig automatisieren. ACM kann private Zertifikate, die durch ACM ausgestellt werden, erneuern und bereitstellen, solange die Private CA, die das Zertifikat ausgestellt hat, den Status „Active“ hat.

2) Bei privaten Zertifikaten, die Sie aus ACM zur Verwendung mit On-Premises-Ressourcen, EC2-Instances und IoT-Geräten exportieren, erneuert ACM Ihr Zertifikat automatisch. Sie sind verantwortlich für das Abrufen des neuen Zertifikats und des privaten Schlüssels und für deren Bereitstellung mit Ihrer Anwendung.

ACM beginnt den Erneuerungsprozess bis zu 60 Tage vor dem Ablaufdatum des Zertifikats. Der Gültigkeitszeitraum für ACM-Zertifikate beträgt derzeit 13 Monate (395 Tage). Weitere Informationen zur verwalteten Erneuerung finden Sie im ACM-Benutzerhandbuch.

Nein. ACM kann das Zertifikat ohne vorherige Ankündigung erneuern oder mit einem neuen Schlüssel versehen und das alte ersetzen.

Wenn Sie die DNS-Validierung in Ihrer Anforderung für ein öffentliches Zertifikat gewählt haben, kann ACM Ihr Zertifikat ohne weiteren Eingriff Ihrerseits erneuern, solange das Zertifikat genutzt wird (mit anderen AWS-Ressourcen verknüpft ist) und Ihr CNAME-Datensatz vorhanden ist.

Wenn Sie bei der Anforderung eines öffentlichen Zertifikats mit einer "bare Domain" die E-Mail-Validierung ausgewählt haben, stellen Sie sicher, dass eine DNS-Suche der "bare Domain" zu der AWS-Ressource aufgelöst wird, die mit dem Zertifikat verknüpft ist. Das Auflösen der "bare Domain" zu einer AWS-Ressource kann eine Herausforderung darstellen, sofern Sie nicht Route 53 oder einen anderen DNS-Anbieter verwenden, der Alias-Ressourcendatensätze (oder etwas Entsprechendes) für das Zuweisen von "bare Domains" zu AWS-Ressourcen unterstützt. Weitere Informationen erhalten Sie im Route 53 Developer Guide.

Nein, Verbindungen, die nach der Bereitstellung des neuen Zertifikats hergestellt werden, verwenden das neue Zertifikat. Bestehende Verbindungen bleiben davon unberührt

Ja.

Ja, aber Sie können auch die Verwendung von AWS Private CA zur Ausstellung von privaten Zertifikaten in Betracht ziehen, welche ACM ohne Validierung erneuern kann. Informationen zum Verarbeiten von Erneuerungen für öffentliche Zertifikate, die nicht aus dem öffentlichen Internet erreichbar sind, und von privaten Zertifikaten, finden Sie unter Verwaltete Erneuerung und Bereitstellung.

Ja. Mithilfe von AWS CloudTrail können Sie Protokolle überprüfen, die Ihnen sagen, wann der private Schlüssel für das Zertifikat verwendet wurde.

Sie können identifizieren, welche Benutzer und Konten AWS-APIs für Services, die AWS CloudTrail unterstützen, aufgerufen haben, die Quell-IP-Adresse, von der die Aufrufe ausgingen, und wann die Aufrufe aufgetreten sind. Sie können beispielsweise identifizieren, welcher Benutzer einen API-Aufruf durchgeführt hat, um ein von ACM bereitgestelltes Zertifikat einem Elastic Load Balancer zuzuordnen, und wann der Elastic Load Balancing-Service den Schlüssel mit einem KMS-API-Aufruf entschlüsselt hat.

Öffentliche und private Zertifikate, die über AWS Certificate Manager zur Verwendung mit ACM-integrierten Services wie etwa Elastic Load Balancing, Amazon CloudFront und Amazon API Gateway bereitgestellt wurden, sind kostenlos. Sie zahlen für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen. AWS Private CA hat nutzungsbasierte Preise; besuchen Sie die Preisseite für AWS Private CA für weitere Details und Beispiele.

Bei Fragen zur Verwendung von AWS Private CA lesen Sie bitte die Häufig gestellten Fragen von AWS Private CA.