Wie kann ich ein von einem Drittanbieter ausgestelltes TLS/SSL-Zertifikat in ACM importieren?

Zuletzt aktualisiert: 24.06.2022

Ich möchte ein von einem Drittanbieter ausgestelltes TLS/SSL-Zertifikat in den AWS Certificate Manager (ACM) importieren.

Lösung

Um ein von einem Drittanbieter ausgestelltes TLS/SSL-Zertifikat in ACM zu importieren, müssen Sie das Zertifikat, seinen privaten Schlüssel und die Zertifikatskette angeben. Ihr Zertifikat muss auch die Voraussetzungen für das Importieren von Zertifikaten enthalten.

Sie benötigen die folgenden Dateien für den Import in PEM-codiertem Format wie folgt:

PEM-codiertes Zertifikat:

-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

PEM-codierte Zertifikatskette: (Dieses Beispiel zeigt eine Kette, in der zwei untergeordnete/zwischengeschaltete Zertifizierungsstellen vorhanden sind. Die hier angegebene Reihenfolge lautet, die Root-CA als letzten Eintrag beizubehalten):

-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA1
----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of Root CA
-----END CERTIFICATE-----

PEM-codierte private Schlüssel:

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

Weitere Informationen und Beispiele finden Sie unter Zertifikat- und Schlüsselformat für den Import.

Konvertieren des Zertifikatspakets mit OpenSSL von PKCS #12 (PFX) nach PEM

1.    Kopieren Sie die PFX- oder P12-Datei an den gleichen Standort wie Ihr OpenSSL-Tool, oder geben Sie den Standort in der Befehlszeile an.

2.    Geben Sie den folgenden OpenSSL-Befehl ein und ersetzen Sie PKCS12file durch Ihre Zertifikatsdatei:

$openssl pkcs12 -in PKCS12file -out Cert_Chain_Key.txt

Sie erhalten Aufforderungen wie folgt:

Enter Import Password:(this is the password that was used when the PKCS12 file was created)

Enter PEM pass phrase:(this is the private key password)

Verifying - Enter PEM pass phrase: (confirm the private key password)

3.    Geben Sie das erforderliche Passwort und die Passphrase ein. Das Zertifikat, der private Schlüssel und die Zertifikatskette (root oder zwischenliegende) werden analysiert und in die Datei Cert_Chain_Key.txt eingefügt.

Hinweis: Der private Schlüssel ist immer noch im folgenden Format verschlüsselt:

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64–encoded private key
-----END ENCRYPTED PRIVATE KEY-----

Entschlüsseln des privaten Schlüssels

1.    Kopieren Sie den privaten Schlüssel aus der Datei Cert_Chain_Key.txt in Ihr OpenSSL-Verzeichnis, oder geben Sie den Standort in der Befehlszeile an.

2.    Geben Sie den folgenden OpenSSL-Befehl ein und ersetzen Sie Encrypted.key durch Ihre verschlüsselte private Schlüsseldatei:

$openssl rsa -in Encrypted.key -out UnEncrypted.key

3.    Geben Sie die Passphrase ein. UnEncrypted.key ist jetzt der entschlüsselte private Schlüssel. Um dies zu überprüfen, öffnen Sie die Datei UnEncrypted.key mit einem Texteditor und zeigen Sie die Kopfzeile wie folgt an:

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

Sie können das Zertifikat jetzt erfolgreich in ACM importieren. Anweisungen finden Sie unter Importieren eines Zertifikats.