ACM Private CA bietet Ihnen einen hochverfügbaren privaten CA-Dienst ohne die vorherigen Investitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen Privat-CA. AWS Certificate Manager (ACM) Private Certificate Authority (CA) ist ein Service für Privat-CAs, der die Zertifikatsverwaltungsfunktionen von ACM auf öffentliche und private Zertifikate erweitert.  Mit ACM Private CA können Entwickler dynamischer reagieren, indem ihnen APIs zur programmgesteuerten Erstellung und Bereitstellung von privaten Zertifikaten zur Verfügung gestellt werden. Sie können auch flexibel private Zertifikate für Anwendungen erstellen, die eine benutzerdefinierte Lebensdauer oder benutzerdefinierte Ressourcennamen erfordern. Mit einer ACM Private CA können Sie private Zertifikate für Ihre verbundenen Ressourcen zentral mit einem sicheren, verwalteten, nutzungsabhängigen Service für private CAs erstellen und managen.

CA-Administratoren können mit ACM Private CA eine vollständige CA-Hierarchie erstellen, einschließlich Online-Root- und untergeordneten CAs. Externe CAs sind nicht erforderlich. ACM Private CA ermöglicht auch eine hybride Hierarchie mit Offline- und Online-CAs. Eine CA-Hierarchie bietet hohe Sicherheit und strenge Zugriffskontrollen für die vertrauenswürdigste Root-CA an der Spitze eines Zertifizierungspfads. Für untergeordnete CAs lassen sich großzügigere Zugriffskontrollen sowie die Massenausstellung von Zertifikaten einrichten. Sie können sichere und hochverfügbare CAs erstellen, ohne Ihre eigene On-Premise-CA-Infrastruktur aufbauen und pflegen zu müssen. Sie können eine CA auf allen AWS-Konten freigeben, oder auf Ihrer Organisation, um die zentrale Verwaltung Ihrer CAs mit der Ausstellung von Zertifikaten via ACM oder direkt von der CA zu aktivieren. Dies reduziert die Anzahl der CAs, die Sie verwalten und bezahlen müssen. Außerdem ermöglicht es Ihnen, die Verwaltungsaufgaben der CA von der Zertifikatsausstellung zu trennen.

 

AWS Summit San Francisco 2018 – AWS Certificate Manager Private Certificate Authority

Vorteile

Sichere und verwaltete Privat-CA

ACM Private CA bietet Ihnen eine einfachere und sichere Möglichkeit zum Erstellen einer Privat-CA, die Sie dann zum Generieren und Verwalten Ihrer privaten Zertifikate nutzen können. ACM Private CA ist durch AWS-verwaltete Hardware Security Modules (HSMs) geschützt. Diese HSMs halten sich an die FIPS 140-2-Sicherheitsnormen zum sicheren Speichern der Schlüssel für Ihr Privat-CA. Administratoren von Privat-CAs können den Zugriff auf den Service mithilfe der AWS IAM-Richtlinien (AWS Identity and Access Management) kontrollieren. Sie können eine CA mit dem AWS Resource Access Manager (RAM) nur für die Zertifikatsausstellung freigeben, wobei die Verwaltung der CA auf die Administratoren beschränkt bleibt. ACM Private CA bietet Ihnen die Sichtbarkeit von Privat-Zertifikatsmaßnahmen und ermöglicht Ihnen, Berichte zu erstellen. Sie können Privat-CA-Maßnahmen mithilfe des AWS CloudTrail-Protokollier- und Überwachungsdienstes überprüfen. ACM Private CA veröffentlicht und aktualisiert zudem automatisch Certificate Revocation Lists (CRLs) für Amazon S3, um so die Anwendung von widerrufenen Zertifikaten zu vermeiden. So kann eine IoT-Anwendung beispielsweise überprüfen, ob das private Zertifikat für einen Server gültig ist, bevor sie Daten vom Sensor empfängt.

Certificate Authorities zentral verwalten

ACM Private CAs können in einem Konto erstellt und verwaltet und dann mit anderen AWS-Konten, die Zertifikate ausstellen müssen, gemeinsam genutzt werden. Der AWS Resource Access Manager ist ein AWS-Service, der es Ihnen ermöglicht, AWS-Ressourcen für jedes AWS-Konto oder innerhalb Ihrer AWS Organization freizugeben. Damit können Kunden die Ressourcenfreigaben mit enthaltenen CAs definieren, um sie an eine Reihe an Konten oder Organisationen freizugeben. Der CA-Prüfungsbericht enthält Einzelheiten zu allen von dieser CA ausgestellten Zertifikaten. Jedes Konto, mit dem eine CA gemeinsam genutzt wird, kann entweder den AWS Certificate Manager verwenden, um Zertifikate zu erstellen und auszustellen, oder die CA direkt anrufen, um Zertifikatssignierungsanforderungen (CSRs) zu signieren.

Vollständige CA-Hierarchien

CA-Administratoren können mit ACM Private CA eine flexible CA-Hierarchie erstellen, einschließlich Root- und untergeordneten CAs. Externe CAs sind nicht erforderlich. Kunden können in jeder AWS-Region, in der ACM Private CA verfügbar ist, sichere und hochverfügbare CAs erstellen, ohne ihre eigene lokale CA-Infrastruktur aufbauen und pflegen zu müssen. Alternativ lassen sich hybride CA-Hierarchien aus Online- und lokalen CAs erstellen. Zusätzlich zur einfachen Verwaltung bietet ACM Private CA die grundlegende Sicherheit zum Betrieb einer CA gemäß den internen Compliance-Richtlinien des Kunden und bewährten Sicherheitsverfahren.

Höhere Flexibilität für Entwickler

ACM Private CA bietet Ihnen die Flexibilität, Zertifikate mit nur wenigen API-Aufrufen, CLI-Befehlen oder über AWS CloudFormation-Vorlagen zu erstellen und bereitzustellen. Mit ACM Private CA können CA-Administratoren die Ausstellung von privaten Zertifikaten an Entwickler delegieren, indem sie ihnen erlauben, Zertifikate von privaten CAs anzufordern, die mit ihren AWS-Konten geteilt werden. Sie können zudem die Zertifikatgenerierung für Anwendungsfälle, bei denen eine Vielzahl kurzlebiger Zertifikate erforderlich ist, automatisieren. Sie können beispielsweise automatisch Zertifikate zur Identifizierung neuer EC2-Instances und -Containers in automatisch skalierten Umgebungen oder zur Authentifizierung von Ereignisbenachrichtigungen, die von AWS Lambda-Funktionen verwendet wurden, erstellen und bereitstellen.

Flexibilität zur individuellen Anpassung privater Zertifikate

ACM Private CA kann als Einzeldienst ohne ACM-Zertifikatmanagement verwendet werden, um so individuelle private Zertifikate zu generieren und bereitzustellen, wie beispielsweise jene mit individuellen Ressourcennamen oder Lebenszeiten. Diese Flexibilität ist in Fällen hilfreich, in denen Ressourcen nach einem bestimmten Namen identifiziert werden müssen, wie beispielsweise ein Gerät anhand seiner Seriennummer, oder wenn sich Zertifikate nicht auf einfache Weise rotieren lassen, wie beispielsweise Zertifikate während des Fertigungsverfahrens.

Nutzungsabhängige Zahlung

ACM Private CA ist im Vergleich zu den herkömmlichen, im Handel erhältlichen Optionen kostengünstiger. ACM Private CA ermöglicht eine monatliche Zahlung für den Dienst und die Zertifikate, die Sie erstellen und bereitstellen. Sie zahlen weniger, wenn Sie mehr Zertifikate nutzen. Weitere Informationen zur Preisstruktur finden Sie hier.

Funktionen

AWS-verwaltete CA (Certificate Authority)

ACM Private CA ist ein verwalteter Service, der zeitaufwändige administrative Aufgaben wie etwa die Hardwarebereitstellung, die Installation von Software-Patches, die Hochverfügbarkeit und Backups automatisiert. ACM Private CA bietet Sicherheit, Konfiguration, Management und das Überwachen eines hochverfügbaren Privat-CA. Mit ACM Private CA können Sie unter mehreren CA-Schlüsselalgorithmen und Schlüssellängen wählen, darunter auch RSA 2048 oder 4096 und ECDSA P256 oder P384. Mit ACM können Sie überall mithilfe der API-basierten Automatisierung einfacher exportieren und Privatzertifikate exportieren.

Integrierte Verwaltung des Lebenszyklus von Zertifikaten

Mit ACM Private CA können Sie das Zertifikatmanagement für Zertifikate, die in ACM-integrierten Diensten, wie Elastic Load Balancing und API Gateway, verwendet werden, an ACM delegieren. Sie können private Zertifikate mithilfe der AWS Management-Konsole oder der AWS APIs auf einfache Weise generieren und bereitstellen. ACM kann die Erneuerung und Bereitstellung dieser Zertifikate automatisieren. ACM Private CA bietet Ihnen zudem APIs zur Automatisierung der Generierung und Erneuerung privater Zertifikate für lokale Ressourcen, EC2-Instances und IoT-Geräten. Mit ACM Private CA können Sie private Zertifikate selbsttätig und ohne ACM-Zertifikatmanagement flexibel verwalten.

Sichere Verwaltung von Root-CAs und CA-Hierarchien

Eine ACM Private CA-Hierarchie bietet hohe Sicherheit und strenge Zugriffskontrollen für die vertrauenswürdigste Root-CA an der Spitze eines Zertifizierungspfads. Für untergeordnete CAs lassen sich großzügigere Zugriffskontrollen sowie die Massenausstellung von Zertifikaten einrichten. Mit Richtlinien von AWS Identity and Access Management (IAM) können Sie festlegen, wer eine neue CA erstellen oder auf vorhandene CAs zugreifen kann. Alle ACM Private CAs einer Hierarchie schützen Ihre CA-Privatschlüssel in Hardware gemäß FIPS 140-2.

Sicherer HSM-gestützter Schlüsselspeicher für CA-Schlüssel

Die von einer Zertifikatsautorität verwendeten Schlüssel zum Unterzeichnen von Zertifikaten sind äußerst sensibel. ACM Private CA sichert CA-Schlüssel in AWS-verwalteten Hardware-Sicherheitsmodulen, die auch als HSMs bekannt sind. Diese HSMs halten sich an die FIPS 140-2-Sicherheitsnormen, um so Ihren Privat-CA vor wesentlichen Eingriffen zu schützen. Details zu der FIPS 140-2-Hardware finden Sie in der Private CA-Dokumentation.

IAM-Integration

Sie können den Zugriff auf den Privat-CA-Dienst mit AWS IAM-Richtlinien kontrollieren. Sie können beispielsweise eine Richtlinie erstellen, um IT-Administratoren, die für das CA-Management zuständig sind, umfassenden Zugriff zu gewähren, um so Privat-CAs zu erstellen und zu konfigurieren. Diese bieten Entwicklern und Benutzern, die Ihre Zertifikate nur ausstellen und erneuern müssen, einen eingeschränkten Zugriff.

Zertifikatssperrung mit CRL und OCSP

Beim Aufbau einer verschlüsselten TLS-Verbindung informiert eine Sperrinfrastruktur den Endpunkt, dass dem Zertifikat nicht vertraut werden soll. Kunden einer privaten Zertifizierungsstelle können das Online Certificate Status Protocol (OCSP), Certificate Revocation Lists (CRLs) oder beides auswählen, um Sperrinformationen für ihre privaten Zertifikate zu verteilen.

Kontoübergreifende CA-Freigabe

Die Freigabe von CAs in Ihrer Organisation oder in AWS-Konten vermeidet die Kosten und die Komplexität der Erstellung und Verwaltung von doppelten CAs in allen Ihren AWS-Konten. Sie können über den AWS Resource Access Manager (RAM) Ressourcenfreigaben erstellen, die ACM Private CAs enthalten und mit einer Reihe von Konten oder AWS Organizations verknüpft sind. Dies ermöglicht es den einbezogenen Konten, private Zertifikate von der gemeinsamen CA auszustellen. Bei der Verwendung von AWS Certificate Manager zur Ausstellung privater Zertifikate von einer gemeinsam genutzten CA wird das Zertifikat lokal im anfordernden Konto generiert, und ACM bietet die vollständige Verwaltung und Erneuerung des Lebenszyklus.

Individuelle Anpassung

ACM Private CA kann als Standalone-Dienst zur direkten Ausgabe von Zertifikaten dienen, ohne dass dabei ACM für das Zertifikatmanagement und das private Schlüsselmanagement verwendet werden muss. Bei einer diesbezüglichen Verwendung können Sie Zertifikate mit jedem beliebigen Betreff anlegen. Dazu verwenden Sie einen der unterstützten Hauptalgorithmen, Schlüsselgrößen, Signieralgorithmen und jeden Gültigkeitszeitraum, beispielsweise Tage, Monate oder Jahre ab dem aktuellen Zeitpunkt, oder ein spezielles Enddatum.

Prüfung und Protokollierung

Mit ACM Private CA werden die Aktivitäten der Privat-CAs für Sie und Ihre Prüfer sichtbar. Sie können Auditberichte samt dem Status aller von der CA ausgestellten Zertifikate anlegen. ACM Private CA ist in AWS CloudTrail integriert. CloudTrail erfasst API-Anrufe von der ACM Private CA-Konsole, von der CLI oder von Ihrem Code und stellt die Protokolldateien Ihrem S3-Bucket bereit. Mithilfe der von CloudTrail erfassten Daten können Sie die gestellte Anfrage sowie deren IP-Adresse, Zeitpunkt usw. ermitteln.

API-basierte Automatisierung

Sie können Code schreiben, um das Zertifikatmanagement in der Programmiersprache Ihrer Wahl mithilfe von ACM Private CA und ACM APIs zu automatisieren. Durch die AWS SDKs wird die Authentifizierung einfacher und sie ermöglichen eine einfachere Authentifizierung und effizientere Integration in Ihre Entwicklungsumgebung. Sie können auch Skripte oder einmalige Befehle mit Hilfe von Befehlszeilentools schreiben, um mit dem Dienst zu interagieren.

Hilfe bei der Erfüllung von Compliance-Anforderungen

Indem das Aktivieren von SSL/TLS vereinfacht wird, kann AWS Certificate Manager Ihrer Organisation dabei helfen, gesetzliche und Compliance-Anforderungen für die Verschlüsselung von übertragenen Daten zu erfüllen. Weitere Informationen zur Compliance finden Sie auf der AWS Cloud Compliance-Website.

Verbesserte Betriebszeit

AWS Certificate Manager unterstützt Sie dabei, SSL-/TLS-Zertifikate aktuell zu halten, einschließlich Zertifikatserneuerungen, damit Sie sich keine Sorgen wegen ablaufenden Zertifikaten machen müssen.

ArcticWolfNetworksLogo
Blacksky
Arctic Wolf Networks (AWN) ist ein branchenführender SOC-as-a-Service-Anbieter, der rund um die Uhr Überwachung und verwaltete Bedrohungserkennung und -reaktion für lokale und Cloud-Anwendungen und -Infrastruktur anbietet. Wir verwenden die ACM Private Certificate Authority (CA), um Zertifikate auszustellen, um sichere Verbindungen von unseren Sensoren zu unserer speziell entwickelten Security Operations Center-Plattform, die in AWS läuft, zu gewährleisten. ACM Private CA bietet uns eine sichere und verwaltete CA, die wir über bekannte AWS-APIs in unsere Infrastruktur integrieren können.

Michael Hart, Director of Infrastructure Engineering – Artic Wolf

Anwendungsfälle

TLS für AWS Services

Mit AWS Certificate Manager können Sie schnell ein Zertifikat anfordern, es auf ACM-integrierten AWS-Ressourcen wie Elastic Load Balancers, Amazon CloudFront-Verteilungen oder APIs auf API Gateway bereitstellen und AWS Certificate Manager die Handhabung von Zertifikatserneuerungen überlassen. Private Zertifikate werden zur Identifizierung und Sicherung der Kommunikation zwischen verbundenen Ressourcen in privaten Netzwerken, wie etwa Servern, mobilen und IoT-Geräten sowie Anwendungen verwendet.

ACM unterstützt die Anforderung von Zertifikaten von AWS Private CA und verwaltet den Lebenszyklus Ihrer privaten Zertifikate, indem es sie sowohl mit AWS-Ressourcen verknüpft als auch für die Verwendung außerhalb von AWS exportiert. Weitere Informationen finden Sie im AWS Certificate Manager Getting Started Guide.

TLS für Kubernetes

Kubernetes-Container und -Anwendungen verwenden digitale Zertifikate, um eine sichere Authentifizierung und Verschlüsselung über TLS zu gewährleisten. cert-manager ist ein Add-on zu Kubernetes, das die Verwaltung von TLS-Zertifikaten ermöglicht. cert-manager fordert Zertifikate an, verteilt sie an Kubernetes-Container und automatisiert die Zertifikatserneuerung. cert-manager stellt sicher, dass die Zertifikate gültig und aktuell sind, und versucht, sie zu einem geeigneten Zeitpunkt vor Ablauf zu erneuern.

AWS Private CA unterstützt ein Open-Source-Plugin für cert-manager, das eine sicherere Zertifizierungsstellenlösung für Kubernetes-Container bietet. Für Kunden, die cert-manager für die Verwaltung des Lebenszyklus von Anwendungszertifikaten verwenden, bedeutet diese Lösung eine Verbesserung der Sicherheit gegenüber dem standardmäßigen cert-manager CA, der Schlüssel im Klartext im Serverspeicher speichert. Mit dieser Lösung können Kunden mit rechtlichen Anforderungen bezüglich der Zugriffskontrolle und Prüfung ihrer CA-Operationen die Nachvollziehbarkeit verbessern und die Compliance unterstützen. Sie können das AWS Private CA Issuer-Plug-In mit Amazon Elastic Kubernetes Service, selbst verwaltetem Kubernetes auf AWS und Kubernetes On-Premises verwenden. Weitere Informationen finden Sie in der Private-CA-Dokumentation zur Konfiguration mit Kubernetes. 

Standard Product Icons (Features) Squid Ink
Informationen zu den ersten Schritten

Erste Schritte mit AWS Certificate Manager

Weitere Informationen 
Sign up for a free account
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.

Registrieren 
Standard Product Icons (Start Building) Squid Ink
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit dem Erstellen von AWS Certificate Manager in der AWS-Konsole.

Anmeldung