AWS Certificate Manager (ACM) Private Certificate Authority (CA) ist ein verwalteter Privat-CA-Dienst, mit dem Sie den Lebenszyklus Ihrer Privatzertifikate schnell und sicher verwalten können. ACM Private CA bietet Ihnen einen hochverfügbaren Privat-CA-Dienst ohne Vorabinvestitionen und die laufenden Wartungskosten des Betriebs einer eigenen privaten CA. ACM Private CA erweitert die Zertifikatmanagementfähigkeiten von ACM um private Zertifikate und ermöglicht Ihnen so, öffentliche und private Zertifikate zentral zu verwalten. Mit ACM Private CA können Entwickler agiler sein, da ihnen APIs zum programmatischen Generieren und Bereitstellen von privaten Zertifikaten bereitgestellt werden. Darüber hinaus haben Sie die Flexibilität, private Zertifikate für Anwendungen zu erstellen, für die individuelle Zertifikatlebensdauern oder Ressourcennamen erforderlich sind. Mit einer ACM Private CA können Sie private Zertifikate für Ihre verbundenen Ressourcen an einem zentralen Ort mit einem sicheren, verwalteten, nutzungsabhängigen Privat-CA-Dienst generieren und verwalten.

Erste Schritte mit AWS Certificate Manager

Kostenloses Konto erstellen
Schützen und Sichern Ihrer Website

ACM Private CA bietet Ihnen eine einfachere und sichere Möglichkeit zum Erstellen einer Privat-CA, die Sie dann zum Generieren und Verwalten Ihrer privaten Zertifikate nutzen können. ACM Private CA ist durch AWS-verwaltete Hardware Security Modules (HSMs) geschützt. Diese HSMs halten sich an die FIPS 140-2 Level 3-Sicherheitsnormen zum sicheren Speichern der Schlüssel für Ihr Privat-CA. Administratoren von Privat-CAs können den Zugriff auf den Service mithilfe der AWS IAM-Richtlinien (AWS Identity and Access Management) kontrollieren. ACM Private CA bietet Ihnen die Sichtbarkeit von Privat-Zertifikatsmaßnahmen und ermöglicht Ihnen, Berichte zu erstellen. Sie können Privat-CA-Maßnahmen mithilfe des AWS CloudTrail-Protokollier- und Überwachungsdienstes überprüfen. ACM Private CA veröffentlicht und aktualisiert zudem automatisch Certificate Revocation Lists (CRLs) für Amazon S3, um so die Anwendung von widerrufenen Zertifikaten zu vermeiden. So kann eine IoT-Anwendung beispielsweise überprüfen, ob das private Zertifikat für einen Server gültig ist, bevor sie Daten vom Sensor empfängt.

Schützen und Sichern Ihrer Website

Mit ACM Private CA können Sie den Lebenszyklus Ihrer privaten und öffentlichen Zertifikate verwalten. Mit ACM Private CA können Sie das Zertifikatmanagement für Zertifikate, die in ACM-integrierten Diensten, wie Elastic Load Balancing und API Gateway, verwendet werden, an ACM delegieren. Sie können private Zertifikate mithilfe der AWS Management-Konsole oder der AWS APIs auf einfache Weise generieren und bereitstellen. ACM kann die Erneuerung und Bereitstellung dieser Zertifikate automatisieren. ACM Private CA bietet Ihnen zudem APIs zur Automatisierung der Generierung und Erneuerung privater Zertifikate für lokale Ressourcen, EC2-Instances und IoT-Geräten. Mit ACM Private CA können Sie private Zertifikate selbsttätig und ohne ACM-Zertifikatmanagement flexibel verwalten.

Schützen und Sichern Ihrer Website

ACM Private CA bietet Ihnen die Agilität zum Generieren und Bereitstellen von Zertifikaten mit nur einigen wenigen API-Anrufen. Mit ACM Private CA können Sie die Verwaltung von privaten Zertifikaten an Entwickler delegieren, indem Sie ihnen gestatten, Zertifikate von Privat-CAs, die mit ihren AWS-Konten verknüpft sind, anzufordern. Sie können zudem die Zertifikatgenerierung für Anwendungsfälle, bei denen eine Vielzahl kurzlebiger Zertifikate erforderlich ist, automatisieren. Sie können beispielsweise automatisch Zertifikate zur Identifizierung neuer EC2-Instances und -Containers in automatisch skalierten Umgebungen oder zur Authentifizierung von Ereignisbenachrichtigungen, die von AWS Lambda-Funktionen verwendet wurden, erstellen und bereitstellen.

Schützen und Sichern Ihrer Website

ACM Private CA kann als Einzeldienst ohne ACM-Zertifikatmanagement verwendet werden, um so individuelle private Zertifikate zu generieren und bereitzustellen, wie beispielsweise jene mit individuellen Ressourcennamen oder Lebenszeiten. Diese Flexibilität ist in Fällen hilfreich, in denen Ressourcen nach einem bestimmten Namen identifiziert werden müssen, wie beispielsweise ein Gerät anhand seiner Seriennummer, oder wenn sich Zertifikate nicht auf einfache Weise rotieren lassen, wie beispielsweise Zertifikate während des Fertigungsverfahrens.

Schützen und Sichern Ihrer Website

ACM Private CA ist im Vergleich zu den herkömmlichen, im Handel erhältlichen Optionen kostengünstiger. ACM Private CA ermöglicht eine monatliche Zahlung für den Dienst und die Zertifikate, die Sie erstellen und bereitstellen. Sie zahlen weniger, wenn Sie mehr Zertifikate nutzen. Weitere Informationen zur Preisstruktur finden Sie hier.

Schützen und Sichern Ihrer Website

AWS Private CA ist ein verwalteter Service, der zeitaufwändige administrative Aufgaben wie etwa die Hardwarebereitstellung, die Installation von Software-Patches, die Hochverfügbarkeit und Backups automatisiert. ACM Private CA bietet Sicherheit, Konfiguration, Management und das Überwachen eines hochverfügbaren Privat-CA. Mit ACM Private CA können Sie unter mehreren CA-Schlüsselalgorithmen und Schlüssellängen, darunter auch RSA 2048 oder 4096 und ECDSA P256 oder P384, wählen. ACM Private CA fungiert als untergeordneter CA, der Ihren vorhandenen Root-CA „in Ketten legt“ und es Ihnen so ermöglicht, Zertifikate auszustellen, die innerhalb Ihrer Organisation vertrauenswürdig sind. Zur Nutzung dieses Dienstes benötigen Sie Ihre eigene Root-CA.

Schützen und Sichern Ihrer Website

Die von einer Zertifikatsautorität verwendeten Schlüssel zum Unterzeichnen von Zertifikaten sind äußerst sensibel. ACM Private CA sichert CA-Schlüssel in AWS-verwalteten Hardware-Sicherheitsmodulen, die auch als HSMs bekannt sind. Diese HSMs halten sich an die FIPS 140-2 Level 3-Sicherheitsnormen, um so Ihren Privat-CA vor wesentlichen Eingriffen zu schützen.

Schützen und Sichern Ihrer Website

ACM Private CA ist in ACM integriert, sodass Sie sowohl öffentliche als auch private Zertifikate von einer einzigen Konsolenschnittstelle verwalten können. Bei der Verwendung von ACM zum Anfordern von Zertifikaten von Ihrem Privat-CA generiert und verwaltet ACM die privaten Schlüssel, erneuert automatisch Zertifikate und stellt Zertifikate für Ressourcen in ACM-integrierten Diensten, wie Elastic Load Balancing Load Balancers und API-Gateway-Endpunkten, bereit. Mit ACM können Sie überall mithilfe der API-basierten Automatisierung einfacher exportieren und Privatzertifikate exportieren.

Schützen und Sichern Ihrer Website

Sie können den Zugriff auf den Privat-CA-Dienst mit AVS IAM-Richtlinien kontrollieren. Sie können beispielsweise eine Richtlinie erstellen, um IT-Administratoren, die für das CA-Management zuständig sind, umfassenden Zugriff zu gewähren, um so Privat-CAs zu erstellen und zu konfigurieren. Diese bieten Entwicklern und Benutzern, die Ihre Zertifikate nur ausstellen und erneuern müssen, einen eingeschränkten Zugriff

Schützen und Sichern Ihrer Website

ACM Private CA veröffentlicht und aktualisiert automatisch Certification Revocation Lists für Ihren Amazon S3-Bucket. Anwendungen, Dienste und Geräte nutzen CRLs jedes Mal zur Evaluierung eines Zertifikats, wenn eine Verbindung zwischen zwei Ressourcen hergestellt wird. So kann eine IoT-Anwendung beispielsweise überprüfen, ob das private Zertifikat für einen Server gültig ist, bevor sie Daten vom Sensor empfängt.

Schützen und Sichern Ihrer Website

Mit ACM Private CA werden die Aktivitäten der Privat-CAs für Sie und Ihre Prüfer sichtbar. Sie können Auditberichte samt dem Status aller von der CA ausgestellten Zertifikate anlegen. ACM Private CA ist in AWS CloudTrail integriert. CloudTrail erfasst API-Anrufe von der ACM Private CA-Konsole, von der CLI oder von Ihrem Code und stellt die Protokolldateien Ihrem S3-Bucket bereit. Mithilfe der von CloudTrail erfassten Daten können Sie die gestellte Anfrage ermitteln, die IP-Adresse, von der die Anfrage kam, wann sie gemacht wurde usw.

Schützen und Sichern Ihrer Website

Sie können einen Code schreiben, um das Zertifikatmanagement in der Programmiersprache Ihrer Wahl mithilfe von ACM Private CA und ACM APIs zu automatisieren. Durch die AWS SDKs wird die Authentifizierung einfacher und sie ermöglichen eine einfachere Authentifizierung und effizientere Integration in Ihre Entwicklungsumgebung. Sie können zudem Skripte oder One-Off-Befehle verfassen. Für die Interaktion mit dem Dienst nutzen Sie Befehlszeilentools.

Schützen und Sichern Ihrer Website

ACM Private CA kann als Standalone-Dienst zur direkten Ausgabe von Zertifikaten dienen, ohne dass dabei ACM für das Zertifikatmanagement und das private Schlüsselmanagement verwendet werden muss. Bei einer diesbezüglichen Verwendung können Sie Zertifikate mit jedem beliebigen Betreff anlegen. Dazu verwenden Sie einen der unterstützten Hauptalgorithmen, Schlüsselgrößen, Signieralgorithmen und jeden Gültigkeitszeitraum, wie beispielsweise Tage, Monate oder Jahre ab dem aktuellen Zeitpunkt oder als spezielles Enddatum.

Indem das Aktivieren von SSL/TLS vereinfacht wird, kann AWS Certificate Manager Ihrer Organisation dabei helfen, gesetzliche und Compliance-Anforderungen für die Verschlüsselung von übertragenen Daten zu erfüllen. Weitere Informationen zur Compliance finden Sie auf der AWS Cloud Compliance-Website.

AWS Certificate Manager unterstützt Sie dabei, SSL-/TLS-Zertifikate aktuell zu halten (einschließlich Zertifikatserneuerungen), damit Sie sich keine Sorgen wegen ablaufenden Zertifikaten machen müssen.