Warum kann ich kein öffentliches SSL/TLS-Zertifikat eines Drittanbieters im AWS Certificate Manager (ACM) importieren?

Lesedauer: 5 Minute

Ich erhielt eine Fehlermeldung, als ich versuchte, ein SSL/TLS-Zertifikat eines Drittanbieters in den AWS Certificate Manager (ACM) zu importieren. Warum kann ich mein Zertifikat nicht in ACM importieren?

Kurzbeschreibung

Ich habe versucht, ein SSL-/TLS-Zertifikat eines Drittanbieters in ACM zu importieren, und habe eine Fehlermeldung erhalten, die einer der folgenden ähnelt:

Sie haben die maximale Anzahl an Zertifikaten erreicht. Löschen Sie Zertifikate, die nicht verwendet werden, oder wenden Sie sich an den AWS Support, um eine Erhöhung zu beantragen.
Das Feld Zertifikat enthält mehr als ein Zertifikat. In diesem Feld können Sie nur ein Zertifikat angeben.
Die Zertifikatskette konnte nicht überprüft werden. Die Zertifikatskette muss mit dem Sofortsignierungszertifikat beginnen, gefolgt von allen Zwischenzertifikaten in der jeweiligen Reihenfolge. Der Index innerhalb der Kette des ungültigen Zertifikats ist 0.
Das Zertifikat konnte nicht mit der Zertifikatskette validiert werden.
Die Länge des privaten Schlüssels wird vom Schlüsselalgorithmus nicht unterstützt.
Der angegebene Zertifikatstext/die angegebene Zertifikatskette hat kein gültiges PEM-Format, InternalFailure oder Zertifikat kann nicht analysiert werden. Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt.
Der private Schlüssel wird nicht unterstützt.
Das Zertifikat ist kein gültiges selbstsigniertes Zertifikat.

Lösung

Folgen Sie den Anweisungen, die der Fehlermeldung entsprechen.

Hinweis:

Wenn Sie beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS CLI verwenden.
Sie können SSL-/TLS-Zertifikate und Dienste von Drittanbietern importieren, die in ACM integriert sind. Vergewissern Sie sich, dass Ihr Zertifikat die Voraussetzungen für den Import von Zertifikaten erfüllt.

„Sie haben die maximale Anzahl an Zertifikaten erreicht. Löschen Sie Zertifikate, die nicht verwendet werden, oder wenden Sie sich an den AWS Support, um eine Erhöhung zu beantragen.“

Standardmäßig können Sie bis zu 1000 Zertifikate in ACM importieren, neue AWS-Konten beginnen jedoch möglicherweise mit einem niedrigeren Limit. Wenn Sie dieses Limit überschreiten, beantragen Sie eine Erhöhung des ACM-Kontingents.

Wenn Sie diese Fehlermeldung erhalten und Sie 1000 Zertifikate für Ihr Konto nicht überschritten haben, haben Sie möglicherweise das Limit für Zertifikate überschritten, die Sie in einem Jahr importieren können. Standardmäßig können Sie den zweifachen Wert Ihres Kontolimits pro Jahr importieren. Wenn Ihr Limit beispielsweise 100 Zertifikaten beträgt, können Sie bis zu 200 Zertifikate pro Jahr importieren. Dazu gehören Zertifikate, die Sie innerhalb der letzten 365 Tage importiert und gelöscht haben. Wenn Sie Ihr Limit erreichen, wenden Sie sich an den AWS Support, um eine Erhöhung des Limits zu beantragen. Weitere Informationen finden Sie unter Kontingente im ACM-Benutzerhandbuch.

„Das Zertifikatsfeld enthält mehr als ein Zertifikat. In diesem Feld können Sie nur ein Zertifikat angeben.“

Wenn Sie ein Zertifikat importieren, laden Sie nicht die gesamte Zertifikatskette für das Feld Zertifikatstext hoch. Wenn Sie ein Zertifikatspaket erhalten, enthält dieses Paket möglicherweise das Serverzertifikat und die Zertifikatskette von der Zertifizierungsstelle (CA). Separieren Sie die einzelnen Dateien (das Zertifikat, die Zertifikatskette mit den Zwischen- und Stammzertifikaten sowie den privaten Schlüssel), die zum Zeitpunkt der Generierung der Certificate Signing Request (CSR) erstellt wurden, vom Paket. Konvertieren Sie anschließend die Dateien zum PEM-Format und laden Sie sie einzeln in ACM hoch. Informationen zum Konvertieren eines Zertifikatspakets in das PEM-Format finden Sie unter Problembehandlung.

„Die Zertifikatskette konnte nicht überprüft werden. Die Zertifikatskette muss mit dem unmittelbar signierenden Zertifikat beginnen, gefolgt von allen Zwischenhändlern in der angegebenen Reihenfolge. Der Index innerhalb der Kette des ungültigen Zertifikats lautet: 0“

Wenn Sie ein Zertifikat in ACM importieren, nehmen Sie das Zertifikat nicht in die Zertifikatskette auf. Die Zertifikatskette darf nur die Zwischen- und Stammzertifikate enthalten. Die Zertifikatskette muss in Ordnung sein und mit den Zwischenzertifikaten beginnen und dann mit dem Stammzertifikat enden.

„Das Zertifikat konnte nicht mit der Zertifikatskette validiert werden.“

Wenn ACM das Zertifikat nicht der bereitgestellten Zertifikatskette zuordnen kann, überprüfen Sie, ob die Zertifikatskette mit Ihrem Zertifikat verknüpft ist. Möglicherweise müssen Sie sich an Ihren Zertifikatsanbieter wenden, um weitere Unterstützung zu erhalten.

„Die Länge des privaten Schlüssels <key_length> wird vom Schlüsselalgorithmus nicht unterstützt.“

Wenn Sie ein X.509-Zertifikat oder eine Zertifikatsanforderung erstellen, geben Sie den Algorithmus und die Schlüsselbitgröße an, die verwendet werden müssen, um das private-öffentliche Schlüsselpaar zu erstellen. Vergewissern Sie sich, dass Ihr Zertifikatsschlüssel die Voraussetzungen für den Import von Zertifikaten erfüllt. Wenn Ihr Schlüssel die Anforderungen an die Schlüsselgröße oder den Algorithmus erfüllt, bitten Sie Ihren Zertifikatsanbieter, das Zertifikat mit einer unterstützten Schlüsselgröße und einem unterstützten Algorithmus erneut auszustellen.

„Der angegebene Zertifikatstext/die angegebene Zertifikatskette hat kein gültiges PEM-Format“, „InternalFailure“ oder „Zertifikat kann nicht analysiert werden. Bitte stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt.“

Wenn der Zertifikatstext, der private Schlüssel oder die Zertifikatskette nicht im PEM-Format vorliegen, müssen Sie die Datei konvertieren. Wenn die Zertifikatsdatei nicht den entsprechenden Zertifikatstext enthält, müssen Sie die Datei konvertieren. Informationen zum Konvertieren eines Zertifikats oder einer Zertifikatskette vom DER- ins PEM-Format finden Sie unter Problembehandlung.

„Der private Schlüssel wird nicht unterstützt.“

Wenn Sie mithilfe der AWS-CLI ein Zertifikat in ACM importieren, übergeben Sie den Inhalt Ihrer Zertifikatsdateien (Zertifikatstext, privater Schlüssel und Zertifikatskette) als Zeichenfolge. Sie müssen das Zertifikat, die Zertifikatskette und den privaten Schlüssel durch ihre Dateinamen mit vorangestelltemfile:// angeben. Weitere Informationen finden Sie unter import-certificate.

Hinweis: Verwenden Sie unbedingt den Dateipfad file://key.pem für Ihren Schlüssel und file://certificate.pem für Ihr Zertifikat. Wenn Sie den Dateipfad nicht angeben, erhalten Sie möglicherweise die folgenden Fehlermeldungen: „Der private Schlüssel wird nicht unterstützt“ oder „Das Zertifikat ist nicht gültig.“

„Das angegebene Zertifikat ist kein gültiges selbstsigniertes Zertifikat. Bitte geben Sie entweder ein gültiges selbstsigniertes Zertifikat oder eine Zertifikatskette an.“

Das Zertifikat, das Sie zu importieren versucht haben, ist kein selbstsigniertes Zertifikat. Bei selbstsignierten Zertifikaten müssen Sie sowohl das Zertifikat als auch seinen privaten Schlüssel angeben. Wenn das Zertifikat von einer Zertifizierungsstelle signiert ist, müssen Sie die Zertifikatskette, den privaten Schlüssel und das Zertifikat angeben.

Ähnliche Informationen

Zertifikate im AWS Certificate Manager importieren

Zertifikat und Schlüsselformat für den Import

Zertifikat importieren

Beheben Sie Probleme beim Zertifikatimport

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Wie kann ich mein öffentliches ACM-Zertifikat widerrufen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich ein von einem Drittanbieter ausgestelltes TLS/SSL-Zertifikat in ACM importieren?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum habe ich beim Aktualisieren meiner CRL-Konfiguration der ACM Private Certificate Authority einen Amazon-S3-GetBucketAcl-Berechtigungsfehler erhalten?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie teile ich meine ACM Private Certificate Authority mit einem anderen AWS-Konto?
AWS OFFICIALAktualisiert vor 2 Jahren