AWS Certificate Manager (ACM) Private Certificate Authority (CA) ist eine verwaltete private CA, mit der Sie den Lebenszyklus Ihrer privaten Zertifikate einfach und sicher verwalten können. ACM Private CA bietet Ihnen einen hochverfügbaren privaten CA-Dienst ohne die vorherigen Investitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen privaten CA. ACM Private CA erweitert die Funktionen zur Zertifikatverwaltung von ACM auf private Zertifikate und ermöglicht Ihnen somit die zentrale Verwaltung von öffentlichen und privaten Zertifikaten. Mit ACM Private CA können Entwickler dynamischer reagieren, indem ihnen APIs zur programmgesteuerten Erstellung und Bereitstellung von privaten Zertifikaten zur Verfügung gestellt werden. Sie können auch flexibel private Zertifikate für Anwendungen erstellen, die eine benutzerdefinierte Lebensdauer oder benutzerdefinierte Ressourcennamen erfordern. Mit einer ACM Private CA können Sie private Zertifikate für Ihre verbundenen Ressourcen an einem zentralen Ort mit einem sicheren, verwalteten, nutzungsabhängigen Privat-CA-Dienst generieren und verwalten.

AWS Summit San Francisco 2018 - AWS Certificate Manager Private Certificate Authority

Vorteile

Sichere und verwaltete Privat-CA

ACM Private CA bietet Ihnen eine einfachere und sichere Möglichkeit zum Erstellen einer Privat-CA, die Sie dann zum Generieren und Verwalten Ihrer privaten Zertifikate nutzen können. ACM Private CA ist durch AWS-verwaltete Hardware Security Modules (HSMs) geschützt. Diese HSMs halten sich an die FIPS 140-2 Level 3-Sicherheitsnormen zum sicheren Speichern der Schlüssel für Ihr Privat-CA. Administratoren von Privat-CAs können den Zugriff auf den Service mithilfe der AWS IAM-Richtlinien (AWS Identity and Access Management) kontrollieren. ACM Private CA bietet Ihnen die Sichtbarkeit von Privat-Zertifikatsmaßnahmen und ermöglicht Ihnen, Berichte zu erstellen. Sie können Privat-CA-Maßnahmen mithilfe des AWS CloudTrail-Protokollier- und Überwachungsdienstes überprüfen. ACM Private CA veröffentlicht und aktualisiert zudem automatisch Certificate Revocation Lists (CRLs) für Amazon S3, um so die Anwendung von widerrufenen Zertifikaten zu vermeiden. So kann eine IoT-Anwendung beispielsweise überprüfen, ob das private Zertifikat für einen Server gültig ist, bevor sie Daten vom Sensor empfängt.

Zentrales Zertifikatmanagement

Mit ACM Private CA können Sie den Lebenszyklus Ihrer privaten und öffentlichen Zertifikate verwalten. Mit ACM Private CA können Sie das Zertifikatmanagement für Zertifikate, die in ACM-integrierten Diensten, wie Elastic Load Balancing und API Gateway, verwendet werden, an ACM delegieren. Sie können private Zertifikate mithilfe der AWS Management-Konsole oder der AWS APIs auf einfache Weise generieren und bereitstellen. ACM kann die Erneuerung und Bereitstellung dieser Zertifikate automatisieren. ACM Private CA bietet Ihnen zudem APIs zur Automatisierung der Generierung und Erneuerung privater Zertifikate für lokale Ressourcen, EC2-Instances und IoT-Geräten. Mit ACM Private CA können Sie private Zertifikate selbsttätig und ohne ACM-Zertifikatmanagement flexibel verwalten.

Höhere Flexibilität für Entwickler

ACM Private CA bietet Ihnen die Agilität zum Generieren und Bereitstellen von Zertifikaten mit nur einigen wenigen API-Anrufen. Mit ACM Private CA können Sie die Verwaltung von privaten Zertifikaten an Entwickler delegieren, indem Sie ihnen gestatten, Zertifikate von Privat-CAs, die mit ihren AWS-Konten verknüpft sind, anzufordern. Sie können zudem die Zertifikatgenerierung für Anwendungsfälle, bei denen eine Vielzahl kurzlebiger Zertifikate erforderlich ist, automatisieren. Sie können beispielsweise automatisch Zertifikate zur Identifizierung neuer EC2-Instances und -Containers in automatisch skalierten Umgebungen oder zur Authentifizierung von Ereignisbenachrichtigungen, die von AWS Lambda-Funktionen verwendet wurden, erstellen und bereitstellen.

Flexibilität zur individuellen Anpassung privater Zertifikate

ACM Private CA kann als Einzeldienst ohne ACM-Zertifikatmanagement verwendet werden, um so individuelle private Zertifikate zu generieren und bereitzustellen, wie beispielsweise jene mit individuellen Ressourcennamen oder Lebenszeiten. Diese Flexibilität ist in Fällen hilfreich, in denen Ressourcen nach einem bestimmten Namen identifiziert werden müssen, wie beispielsweise ein Gerät anhand seiner Seriennummer, oder wenn sich Zertifikate nicht auf einfache Weise rotieren lassen, wie beispielsweise Zertifikate während des Fertigungsverfahrens.

Nutzungsabhängige Zahlung

ACM Private CA ist im Vergleich zu den herkömmlichen, im Handel erhältlichen Optionen kostengünstiger. ACM Private CA ermöglicht eine monatliche Zahlung für den Dienst und die Zertifikate, die Sie erstellen und bereitstellen. Sie zahlen weniger, wenn Sie mehr Zertifikate nutzen. Weitere Informationen zur Preisstruktur finden Sie hier.

Funktionen

AWS-verwaltete CA (Certificate Authority)

AWS Private CA ist ein verwalteter Service, der zeitaufwändige administrative Aufgaben wie etwa die Hardwarebereitstellung, die Installation von Software-Patches, die Hochverfügbarkeit und Backups automatisiert. ACM Private CA bietet Sicherheit, Konfiguration, Management und das Überwachen eines hochverfügbaren Privat-CA. Mit ACM Private CA können Sie unter mehreren CA-Schlüsselalgorithmen und Schlüssellängen, darunter auch RSA 2048 oder 4096 und ECDSA P256 oder P384, wählen. ACM Private CA fungiert als untergeordneter CA, der Ihren vorhandenen Root-CA „in Ketten legt“ und es Ihnen so ermöglicht, Zertifikate auszustellen, die innerhalb Ihrer Organisation vertrauenswürdig sind. Zur Nutzung dieses Dienstes benötigen Sie Ihre eigene Root-CA.

Zertifikat-Lebenszyklus-Management

ACM Private CA ist in ACM integriert, sodass Sie sowohl öffentliche als auch private Zertifikate von einer einzigen Konsolenschnittstelle verwalten können. Bei der Verwendung von ACM zum Anfordern von Zertifikaten von Ihrem Privat-CA generiert und verwaltet ACM die privaten Schlüssel, erneuert automatisch Zertifikate und stellt Zertifikate für Ressourcen in ACM-integrierten Diensten, wie Elastic Load Balancing Load Balancers und API-Gateway-Endpunkten, bereit. Mit ACM können Sie überall mithilfe der API-basierten Automatisierung einfacher exportieren und Privatzertifikate exportieren.

Überprüfen (Auditing) und Protokollieren (Logging)

Mit ACM Private CA werden die Aktivitäten der Privat-CAs für Sie und Ihre Prüfer sichtbar. Sie können Auditberichte samt dem Status aller von der CA ausgestellten Zertifikate anlegen. ACM Private CA ist in AWS CloudTrail integriert. CloudTrail erfasst API-Anrufe von der ACM Private CA-Konsole, von der CLI oder von Ihrem Code und stellt die Protokolldateien Ihrem S3-Bucket bereit. Mithilfe der von CloudTrail erfassten Daten können Sie die gestellte Anfrage ermitteln, die IP-Adresse, von der die Anfrage kam, wann sie gemacht wurde usw.

Sicherer HSM-gestützter Schlüsselspeicher für CA-Schlüssel

Die von einer Zertifikatsautorität verwendeten Schlüssel zum Unterzeichnen von Zertifikaten sind äußerst sensibel. ACM Private CA sichert CA-Schlüssel in AWS-verwalteten Hardware-Sicherheitsmodulen, die auch als HSMs bekannt sind. Diese HSMs halten sich an die FIPS 140-2 Level 3-Sicherheitsnormen, um so Ihren Privat-CA vor wesentlichen Eingriffen zu schützen.

IAM-Integration

Sie können den Zugriff auf den Privat-CA-Dienst mit AVS IAM-Richtlinien kontrollieren. Sie können beispielsweise eine Richtlinie erstellen, um IT-Administratoren, die für das CA-Management zuständig sind, umfassenden Zugriff zu gewähren, um so Privat-CAs zu erstellen und zu konfigurieren. Diese bieten Entwicklern und Benutzern, die Ihre Zertifikate nur ausstellen und erneuern müssen, einen eingeschränkten Zugriff

Certificate Revocation List (CRL)-Generierung

ACM Private CA veröffentlicht und aktualisiert automatisch Certification Revocation Lists für Ihren Amazon S3-Bucket. Anwendungen, Dienste und Geräte nutzen CRLs jedes Mal zur Evaluierung eines Zertifikats, wenn eine Verbindung zwischen zwei Ressourcen hergestellt wird. So kann eine IoT-Anwendung beispielsweise überprüfen, ob das private Zertifikat für einen Server gültig ist, bevor sie Daten vom Sensor empfängt.

API-basierte Automatisierung

Sie können Code schreiben, um das Zertifikatmanagement in der Programmiersprache Ihrer Wahl mithilfe von ACM Private CA und ACM APIs zu automatisieren. Durch die AWS SDKs wird die Authentifizierung einfacher und sie ermöglichen eine einfachere Authentifizierung und effizientere Integration in Ihre Entwicklungsumgebung. Sie können zudem Skripte oder One-Off-Befehle verfassen. Für die Interaktion mit dem Dienst nutzen Sie Befehlszeilentools.

Individuelle Anpassung

ACM Private CA kann als Standalone-Dienst zur direkten Ausgabe von Zertifikaten dienen, ohne dass dabei ACM für das Zertifikatmanagement und das private Schlüsselmanagement verwendet werden muss. Bei einer diesbezüglichen Verwendung können Sie Zertifikate mit jedem beliebigen Betreff anlegen. Dazu verwenden Sie einen der unterstützten Hauptalgorithmen, Schlüsselgrößen, Signieralgorithmen und jeden Gültigkeitszeitraum, wie beispielsweise Tage, Monate oder Jahre ab dem aktuellen Zeitpunkt oder als spezielles Enddatum.

ArcticWolfNetworksLogo

Arctic Wolf Networks (AWN) ist ein branchenführender SOC-as-a-Service-Anbieter, der rund um die Uhr Überwachung und verwaltete Bedrohungserkennung und -reaktion für lokale und Cloud-Anwendungen und -Infrastruktur anbietet. Wir verwenden die ACM Private Certificate Authority (CA), um Zertifikate auszustellen, um sichere Verbindungen von unseren Sensoren zu unserer speziell entwickelten Security Operations Center-Plattform, die in AWS läuft, zu gewährleisten. ACM Private CA bietet uns eine sichere und verwaltete CA, die wir über bekannte AWS-APIs in unsere Infrastruktur integrieren können.

Michael Hart, Director
Infrastructure Engineering

Anwendungsfälle

Erfüllen von Compliance-Anforderungen

Indem das Aktivieren von SSL/TLS vereinfacht wird, kann AWS Certificate Manager Ihrer Organisation dabei helfen, gesetzliche und Compliance-Anforderungen für die Verschlüsselung von übertragenen Daten zu erfüllen. Weitere Informationen zur Compliance finden Sie auf der AWS Cloud Compliance-Website.

Verbesserte Betriebszeit

AWS Certificate Manager unterstützt Sie dabei, SSL-/TLS-Zertifikate aktuell zu halten (einschließlich Zertifikatserneuerungen), damit Sie sich keine Sorgen wegen ablaufenden Zertifikaten machen müssen.

Erfahren Sie mehr zur Preisgestaltung von AWS Certificate Manager Private Certificate Authority

Zur Seite mit Preisinformationen
Bereit zum Entwickeln?
Erste Schritte mit AWS Certificate Manager
Haben Sie noch Fragen?
Kontaktieren Sie uns