Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
ACMEigenschaften des Zertifikats
Öffentliche Zertifikate, die von bereitgestellt werden, ACM weisen die auf dieser Seite in diesem beschriebenen Merkmale auf.
Anmerkung
Diese Merkmale gelten nur für Zertifikate, die von bereitgestellt wurdenACM. Sie gelten möglicherweise nicht für Zertifikate, in die Sie importieren ACM.
-
Öffentliche Zertifikate, über die Sie anfordern, erhalten ACM Sie von Amazon Trust Services
, einer von Amazon verwalteten öffentlichen Zertifizierungsstelle (CA). Amazon Root CAs 1 bis 4 sind von einem älteren Root namens Starfield G2 Root Certificate Authority — G2 quersigniert. Der Starfield-Stamm wird auf Android-Geräten ab späteren Versionen von Gingerbread und von iOS ab Version 4.1 als vertrauenswürdig eingestuft. Amazon-Stämme werden von iOS ab Version 11 als vertrauenswürdig eingestuft. Jeder Browser, jede Anwendung oder jedes Betriebssystem, das Amazon- oder Starfield-Roots enthält, vertraut öffentlichen Zertifikaten, die von ACM bezogen wurden. Die Leaf - oder ACMEntity-Zertifikate, die an Kunden ausgestellt werden, erhalten ihre Autorität von einer Amazon Trust Services-Stammzertifizierungsstelle über eine von mehreren Zwischenzertifizierungsstellen. CAs ACMweist anhand des Typs des angeforderten Zertifikats (RSAoderECDSA) nach dem Zufallsprinzip eine Zwischenzertifizierungsstelle zu. Da die Zwischenzertifizierungsstelle nach dem Zufallsprinzip ausgewählt wird, nachdem die Anfrage generiert wurde, werden ACM keine Informationen zur Zwischenzertifizierungsstelle bereitgestellt.
- Browser- und Anwendungs-Vertrauensstellung
-
ACMZertifikate werden von allen gängigen Browsern als vertrauenswürdig eingestuft, darunter Google Chrome, Microsoft Internet Explorer und Microsoft Edge, Mozilla Firefox und Apple Safari. Browser, die ACM Zertifikaten vertrauen, zeigen in ihrer Status- oder Adressleiste ein Schlosssymbol an, wenn sie überSSL/mit Websites TLS verbunden sind, die ACM Zertifikate verwenden. ACMZertifikate werden auch von Java als vertrauenswürdig eingestuft.
- Zwischen- und Stamm-CA-Rotation
-
Um eine robuste und flexible Zertifikatsinfrastruktur aufrechtzuerhalten, kann Amazon jederzeit ohne Vorankündigung eine zwischengeschaltete Zertifizierungsstelle einstellen. Änderungen dieser Art haben keine Auswirkungen auf die Kunden. Weitere Informationen finden Sie im Blog-Beitrag Amazon introduces dynamic intermediate certificate authorities
(Amazon führt dynamische Zwischenzertifizierungsstellen ein). In dem unwahrscheinlichen Fall, dass Amazon eine Stammzertifizierungsstelle einstellt, erfolgt die Änderung so schnell, wie es die Umstände erfordern. Aufgrund der großen Auswirkungen einer solchen Änderung wird Amazon alle verfügbaren Mechanismen nutzen, um AWS Kunden zu benachrichtigen, einschließlich der AWS Health Dashboard E-Mail an die Kontoinhaber und der Kontaktaufnahme mit technischen Kundenbetreuern.
- Firewall-Zugriff für Widerruf
-
Wenn ein Endentitätszertifikat nicht mehr vertrauenswürdig ist, wird es gesperrt. OCSPund CRLs sind die Standardmechanismen, die verwendet werden, um zu überprüfen, ob ein Zertifikat gesperrt wurde oder nicht. OCSPund CRLs sind die Standardmechanismen, die zur Veröffentlichung von Sperrinformationen verwendet werden. Einige Kunden-Firewalls benötigen möglicherweise zusätzliche Regeln, damit diese Mechanismen funktionieren können.
Das folgende Beispiel mit URL Platzhaltermustern kann verwendet werden, um den Sperrverkehr zu identifizieren. Ein Sternchen-Platzhalter (*) steht für ein Zeichen oder eine beliebige Kombination von mehreren alphanumerischen Zeichen, ein Fragezeichen (?) steht für ein einzelnes alphanumerisches Zeichen, und ein Rautenzeichen (#) steht für eine Zahl.
-
OCSP
http://ocsp.?????.amazontrust.comhttp://ocsp.*.amazontrust.com -
CRL
http://crl.?????.amazontrust.com/?????.crlhttp://crl.*.amazontrust.com/*.crl
-
- Domainvalidierung (DV)
-
ACM-Zertifikate werden von der Domäne validiert. Das heißt, das Betreff-Feld eines ACM Zertifikats identifiziert einen Domainnamen und nichts weiter. Wenn Sie ein ACM Zertifikat anfordern, müssen Sie bestätigen, dass Sie Eigentümer aller Domänen sind oder die Kontrolle über alle Domänen haben, die Sie in Ihrer Anfrage angeben. Sie können die Inhaberschaft per E-Mail oder per E-Mail bestätigenDNS. Weitere Informationen erhalten Sie unter E-Mail-Validierung und DNSValidierung.
- Gültigkeitszeitraum
-
Die Gültigkeitsdauer von ACM Zertifikaten beträgt 13 Monate (395 Tage).
- Verwaltete Erneuerung und Bereitstellung
-
ACMverwaltet den Prozess der Verlängerung von ACM Zertifikaten und der Bereitstellung der Zertifikate nach deren Verlängerung. Eine automatische Erneuerung kann Ihnen dabei helfen, Ausfallzeiten aufgrund von falsch konfigurierten, widerrufenen oder abgelaufenen Zertifikaten zu verhindern. Weitere Informationen finden Sie unter Verwaltete Verlängerung von ACM Zertifikaten.
- Mehrere Domainnamen
-
Jedes ACM Zertifikat muss mindestens einen vollqualifizierten Domainnamen (FQDN) enthalten, und Sie können bei Bedarf weitere Namen hinzufügen. Wenn Sie beispielsweise ein ACM Zertifikat für erstellen
www.example.com, können Sie auch den Namen hinzufügen,www.example.netfalls Kunden Ihre Website über einen der beiden Namen erreichen können. Dies gilt auch für "Bare"-Domains (auch bekannt als "Zone Apex"- oder "Naked"-Domains). Das heißt, Sie können ein ACM Zertifikat für www.example.com anfordern und den Namen example.com hinzufügen. Weitere Informationen finden Sie unter Anfordern eines öffentlichen Zertifikats . - Platzhalternamen
-
ACMermöglicht es Ihnen, ein Sternchen (*) im Domainnamen zu verwenden, um ein ACM Zertifikat zu erstellen, das einen Platzhalternamen enthält, der mehrere Websites in derselben Domain schützen kann. Zum Beispiel schützt
*.example.comwww.example.comundimages.example.com.Anmerkung
Wenn Sie ein Platzhalter-Zertifikat anfordern, muss sich das Sternchen (
*) ganz links im Domainnamen befinden und es kann nur eine Subdomainn-Ebene geschützt werden. Zum Beispiel kann*.example.comlogin.example.comundtest.example.comschützen, jedoch nichttest.login.example.com. Beachten Sie außerdem, dass*.example.comnur die Subdomains vonexample.comschützt, jedoch nicht die "Bare-" oder "Apex"-Domain (example.com). Sie können jedoch ein Zertifikat anfordern, das eine "Bare"- oder "Apex"-Domain und deren Subdomains schützt, indem Sie mehrere Domainnamen in Ihrer Anforderung angeben. Beispielsweise können Sie ein Zertifikat anfordern, dasexample.comund*.example.comschützt. - Schlüsselalgorithmen
-
Ein Zertifikat muss einen Algorithmus und eine Schlüsselgröße angeben. Derzeit werden die folgenden Public-Key-Algorithmen RSA und der Elliptic Curve Digital Signature Algorithm (ECDSA) von unterstützt. ACM ACMkann mithilfe von Algorithmen, die mit einem Sternchen (*) gekennzeichnet sind, die Ausstellung neuer Zertifikate beantragen. Die übrigen Algorithmen werden nur für importierte Zertifikate unterstützt.
Anmerkung
Wenn Sie ein von einer PKI Zertifizierungsstelle signiertes privates Zertifikat anfordern AWS Private CA, muss die angegebene Signaturalgorithmusfamilie (RSAoderECDSA) mit der Algorithmusfamilie des geheimen Schlüssels der Zertifizierungsstelle übereinstimmen.
-
RSA1024 Bit (
RSA_1024) -
RSA2048 Bit (*
RSA_2048) -
RSA3072 Bit ()
RSA_3072 -
RSA4096 Bit ()
RSA_4096 -
ECDSA256 Bit (*
EC_prime256v1) -
ECDSA384 Bit (*
EC_secp384r1) -
ECDSA521 Bit ()
EC_secp521r1
ECDSASchlüssel sind kleiner und bieten eine Sicherheit, die mit RSA Schlüsseln vergleichbar ist, bieten jedoch eine höhere Recheneffizienz. ECDSAWird jedoch nicht von allen Netzwerkclients unterstützt. Die folgende Tabelle, adaptiert von NIST
, zeigt die repräsentative Sicherheitsstärke von RSA und ECDSA mit Schlüsseln unterschiedlicher Größe. Alle Werte sind in Bits angegeben. Vergleich der Sicherheit von Algorithmen und SchlüsselnStärke der Sicherheit
RSASchlüsselgröße
ECDSASchlüsselgröße
128
3072 256 192
7680 384 256
15360 521 Die Sicherheitsstärke, verstanden als Potenz von 2, bezieht sich auf die Anzahl der Rateversuche, die erforderlich sind, um die Verschlüsselung zu knacken. Beispielsweise können sowohl ein RSA 3072-Bit-Schlüssel als auch ein ECDSA 256-Bit-Schlüssel abgerufen werden, ohne dass mehr als 2 128 Versuche erforderlich sind.
Informationen, die Ihnen bei der Auswahl eines Algorithmus helfen, finden Sie im AWS Blogbeitrag So bewerten und verwenden Sie Zertifikate
in. ECDSA AWS Certificate Manager Wichtig
Beachten Sie, dass integrierte Services nur die von ihnen unterstützten Algorithmen und Schlüsselgrößen für die Zuordnung zu ihren Ressourcen zulassen. Außerdem unterscheidet sich ihre Unterstützung je nachdem, ob das Zertifikat in IAM oder in importiert wirdACM. Weitere Informationen finden Sie in der Dokumentation zu dem jeweiligen Service.
-
Informationen zu Elastic Load Balancing finden Sie unter HTTPSListener für Ihren Application Load Balancer.
-
Weitere Informationen finden Sie unter Unterstützte TLS Protokolle SSL und Chiffren. CloudFront
-
- Punycode
-
Die folgenden Punycode
-Anforderungen in Bezug auf internationalisierte Domainnnamen müssen erfüllt sein: -
Domainnamen, die mit dem Muster „<character><character>--“ beginnen, müssen mit „xn--“ übereinstimmen.
-
Domainnamen, die mit „xn--“ beginnen, müssen ebenfalls gültige internationalisierte Domainnamen sein.
Beispiele für PunycodeDomainname
Erfüllt #1
Erfüllt #2
Zulässig
Hinweis
example.com
–
–
✓
Beginnt nicht mit „<character><character>--“
a--example.com
–
–
✓
Beginnt nicht mit „<character><character>--“
abc--example.com
–
–
✓
Beginnt nicht mit „<character><character>--“
xn--xyz.com
Ja
Ja
✓
Gültiger internationalisierter Domainname (wird zu 简.com aufgelöst)
xn--example.com
Ja
Nein
✗
Kein gültiger internationalisierter Domainname
ab--example.com
Nein
Nein
✗
Muss mit „xn--“ beginnen
-
- Ausnahmen
-
Beachten Sie Folgendes:
-
ACMstellt keine EV-Zertifikate (Extended Validation) oder OV-Zertifikate (Organization Validation) zur Verfügung.
-
ACMstellt keine Zertifikate für etwas anderes als die SSL TLS /-Protokolle zur Verfügung.
-
Sie können keine ACM Zertifikate für die E-Mail-Verschlüsselung verwenden.
-
ACMermöglicht es Ihnen derzeit nicht, die verwaltete Zertifikatserneuerung für ACM Zertifikate zu deaktivieren. Außerdem ist die verwaltete Verlängerung für Zertifikate, in die Sie importieren, nicht verfügbarACM.
-
Sie können keine Zertifikate für Amazon-eigene Domainnamen, wie solche, die mit amazonaws.com, cloudfront.net oder elasticbeanstalk.com enden, anfordern.
-
Sie können den privaten Schlüssel für ein ACM Zertifikat nicht herunterladen.
-
Sie können ACM Zertifikate nicht direkt auf Ihrer Amazon Elastic Compute Cloud (AmazonEC2) -Website oder -Anwendung installieren. Sie können jedoch Ihr Zertifikat mit einem integrierten Service verwenden. Weitere Informationen finden Sie unter Dienste, die integriert sind mit AWS Certificate Manager.
-
