Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

AWS Certificate Manager Konzepte

PDF
RSS
Fokusmodus
AWS Certificate Manager Konzepte - AWS Certificate Manager
ACMZertifikatACMRoot CAsApex-DomainVerschlüsselung mit asymmetrischem SchlüsselZertifizierungsstelleProtokollierung der ZertifikatstransparenzDomain Name SystemDomainnamenVer- und EntschlüsselungVollqualifizierter Domainname () FQDNPublic Key InfrastructureStammzertifikatSecure Sockets Layer () SSLSicher HTTPSSSLServerzertifikateSymmetrische Schlüssel-KryptografieSicherheit auf Transportschicht (TLS)Vertrauensstellung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Dieser Abschnitt enthält Definitionen der Konzepte, die verwendet werden von AWS Certificate Manager.

ACMZertifikat

ACMgeneriert X.509-Zertifikate der Version 3. Jedes Zertifikat ist 13 Monate (395 Tage) gültig und enthält die folgenden Erweiterungen.

  • Basic Constraints– gibt an, ob das Subject des Zertifikats eine Zertifizierungsstelle (CA) ist

  • Authority Key Identifier– ermöglicht die Identifizierung des öffentlichen Schlüssels, der dem privaten Schlüssel entspricht, mit dem das Zertifikat signiert wurde.

  • Subject Key Identifier– ermöglicht die Identifizierung von Zertifikaten, die einen bestimmten öffentlichen Schlüssel enthalten.

  • Key Usage– definiert den Zweck des im Zertifikat eingebetteten öffentlichen Schlüssels.

  • Extended Key Usage– gibt einen oder mehrere Zwecke an, für die der öffentliche Schlüssel zusätzlich zu den von der Erweiterung Key Usage angegebenen Zwecken verwendet werden kann.

  • CRLVerteilungspunkte — gibt an, wo CRL Informationen abgerufen werden können.

Der Klartext eines ACM ausgestellten Zertifikats ähnelt dem folgenden Beispiel:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=Example CA
        Validity
            Not Before: Jan 30 18:46:53 2018 GMT
            Not After : Jan 31 19:46:53 2018 GMT
        Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4:
                    69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:
                    e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac:
                    a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5:
                    43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5:
                    08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95:
                    03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51:
                    b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85:
                    a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76:
                    05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14:
                    bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5:
                    68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a:
                    02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8:
                    5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec:
                    59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea:
                    40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab:
                    e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7:
                    08:73
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42
            X509v3 Subject Key Identifier:
                97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:
                Full Name:
                  URI:http://example.com/crl

    Signature Algorithm: sha256WithRSAEncryption
         69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46:
         69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6:
         8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43:
         76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52:
         cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3:
         d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08:
         e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7:
         17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d:
         94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a:
         8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c:
         03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36:
         44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b:
         a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42:
         8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3:
         12:b9:35:d5

ACMRoot CAs

Den von ausgestellten öffentlichen Entity-Zertifikaten wird ihr Vertrauen von dem folgenden Amazon-Stammverzeichnis ACM abgeleitet: CAs

Definierter Name (Distinguished Name)

 Verschlüsselungsalgorithmus

CN=Amazon Root CA 1, O=Amazon, C=US

 2048-Bit RSA () RSA_2048

CN=Amazon Root CA 2, O=Amazon, C=US

 4096-Bit RSA () RSA_4096

CN=Amazon Root CA 3, O=Amazon, C=US

 Elliptic Prime Curve 256 Bit (EC_prime256v1)

CN=Amazon Root CA 4, O=Amazon, C=US

 Elliptic Prime Curve 384 Bit (EC_secp384r1)

Die standardmäßige Vertrauensbasis für von ACM -ausgestellte Zertifikate ist CN=Amazon Root CA 1, O=Amazon, C=US, was 2048-Bit-Sicherheit bietet. RSA Die anderen Roots sind für die zukünftige Verwendung reserviert. Alle Roots werden durch das Starfield Services Root Certificate Authority-Zertifikat gegensigniert.

Weitere Informationen finden Sie unter Amazon Trust Services.

Apex-Domain

Siehe Domainnamen.

Verschlüsselung mit asymmetrischem Schlüssel

Im Gegensatz zu Symmetrische Schlüssel-Kryptografie verwendet die asymmetrische Verschlüsselung unterschiedliche, aber mathematisch zusammenhängende Schlüssel für die Ver- und Entschlüsselung von Inhalten. Einer der Schlüssel ist öffentlich und wird in der Regel in einem X.509 v3-Zertifikat bereitgestellt. Der andere Schlüssel ist privat und sicher gespeichert. Das X.509-Zertifikat bindet die Identität eines Benutzers, Computers oder einer anderen Ressource (das Zertifikatsubjekt) an den öffentlichen Schlüssel.

ACMZertifikate sind SSL TLS X.509/-Zertifikate, die die Identität Ihrer Website und die Details Ihrer Organisation an den öffentlichen Schlüssel binden, der im Zertifikat enthalten ist. ACMverwendet dein AWS KMS key um den privaten Schlüssel zu verschlüsseln. Weitere Informationen finden Sie unter Sicherheit für private Zertifikatsschlüssel.

Zertifizierungsstelle

Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine Entität, die digitale Zertifikate ausstellt. Kommerziell basiert der gängigste digitale Zertifikatstyp auf dem ISO X.509-Standard. Die CA stellt signierte digitale Zertifikate aus, die die Identität des Zertifikat-Subjects bestätigen und diese Identität an den öffentlichen Schlüssel binden, der im Zertifikat enthalten ist. Eine CA verwaltet in der Regel auch die Zertifikataufhebung.

Protokollierung der Zertifikatstransparenz

Zum Schutz vor TLS Zertifikaten vom TypSSL/, die versehentlich oder von einer kompromittierten Zertifizierungsstelle ausgestellt wurden, verlangen einige Browser, dass öffentliche Zertifikate, die für Ihre Domain ausgestellt wurden, in einem Transparenzprotokoll für Zertifikate aufgezeichnet werden. Der Domainname wird aufgezeichnet. der private Schlüssel nicht. Zertifikate, die nicht protokolliert werden, erzeugen typischerweise einen Fehler im Browser.

Sie können die Protokolle überwachen, um sicherzustellen, dass nur von Ihnen autorisierte Zertifikate für Ihre Domain ausgestellt wurden. Sie können einen Service wie z. B. Certificate Search nutzen, um die Protokolle zu überprüfen.

Bevor die Amazon CA ein öffentlich vertrauenswürdiges SSL TLS /-Zertifikat für Ihre Domain ausstellt, übermittelt sie das Zertifikat an mindestens drei Certificate Transparency Log-Server. Diese Server fügen das Zertifikat zu ihren öffentlichen Datenbanken hinzu und senden einen signierten Zertifikatszeitstempel (SCT) an die Amazon-Zertifizierungsstelle zurück. Die CA bettet das dann SCT in das Zertifikat ein, signiert das Zertifikat und stellt es Ihnen aus. Die Zeitstempel sind in anderen X.509-Erweiterungen enthalten. 


 X509v3 extensions:

   CT Precertificate SCTs:
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : BB:D9:DF:...8E:1E:D1:85
         Timestamp : Apr 24 23:43:15.598 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...18:CB:79:2F
     Signed Certificate Timestamp:
       Version   : v1(0)
         Log ID    : 87:75:BF:...A0:83:0F
         Timestamp : Apr 24 23:43:15.565 2018 GMT
         Extensions: none
         Signature : ecdsa-with-SHA256
                     30:45:02:...29:8F:6C

Die Protokollierung der Zertifikatstransparenz erfolgt automatisch, wenn Sie ein Zertifikat anfordern oder erneuern, es sei denn, Sie entscheiden sich dafür, diesen Service nicht zu nutzen. Weitere Informationen zur Abmeldung finden Sie unter Abmelden von der Protokollierung für Zertifikatstransparenz.

Domain Name System

Das Domain Name System (DNS) ist ein hierarchisch verteiltes Benennungssystem für Computer und andere Ressourcen, die mit dem Internet oder einem privaten Netzwerk verbunden sind. DNSwird hauptsächlich verwendet, um textuelle Domainnamen, z. B. aws.amazon.com in numerische IP-Adressen (Internet Protocol) der folgenden Form zu übersetzen. 111.122.133.144 Die DNS Datenbank für Ihre Domain enthält jedoch eine Reihe von Datensätzen, die für andere Zwecke verwendet werden können. Beispielsweise können ACM Sie anhand eines CNAME Datensatzes überprüfen, ob Sie Eigentümer einer Domain sind oder diese kontrollieren, wenn Sie ein Zertifikat anfordern. Weitere Informationen finden Sie unter AWS Certificate Manager DNSValidierung.

Domainnamen

Ein Domainname ist eine Textzeichenfolgewww.example.com, wie sie vom Domain Name System (DNS) in eine IP-Adresse übersetzt werden kann. Computernetzwerke, einschließlich des Internet, verwenden IP-Adressen statt Textnamen. Ein Domainname besteht aus unterschiedlichen Bezeichnungen, die jeweils durch einen Punkt voneinander getrennt werden:

TLD

Die Bezeichnung ganz rechts wird als Top-Level-Domain () TLD bezeichnet. Allgemeine Beispiele sind unter anderem .com, .net und .edu. Außerdem ist die TLD Angabe für in einigen Ländern registrierte Unternehmen eine Abkürzung für den Ländernamen und wird als Ländercode bezeichnet. Beispiele sind unter anderem .uk für Großbritannien und Nordirland, .ru für Russland und .fr für Frankreich. Wenn Ländercodes verwendet werden, TLD wird häufig eine zweite Hierarchie für die eingeführt, um den Typ der registrierten Einheit zu identifizieren. Beispielsweise .co.uk TLD identifiziert der Handelsunternehmen im Vereinigten Königreich.

Apex-Domain

Der Apex-Domainname umfasst die Top-Level-Domain und erweitert diese. Für Domainnamen, die einen Ländercode enthalten, beinhaltet die Apex-Domain den Code und gegebenenfalls die Bezeichnungen, die den Typ der registrierten Einheit identifizieren. Die Apex-Domain beinhaltet keine Unterdomains (siehe folgender Absatz). In www.example.com ist der Name der Apex-Domain example.com. In www.example.co.uk ist der Name der Apex-Domain example.co.uk. Andere Namen, die häufig anstelle von apex verwendet werden, sind unter anderem base, bare, root, root apex oder zone apex.

Unterdomain

Unterdomainnamen stehen vor dem Apex-Domainnamen und werden von diesem sowie voneinander durch jeweils einen Punkt getrennt. Der gebräuchlichste Unterdomainname ist www, es ist jedoch auch jeder andere Name möglich. Unterdomainnamen können mehrere Ebenen haben. Beispielsweise sind in jake.dog.animals.example.com die Unterdomains jake, dog und animals.

Superdomain

Die Domain, zu der eine Subdomain gehört.

FQDN

Ein vollqualifizierter Domainname (FQDN) ist der vollständige DNS Name für einen Computer, eine Website oder eine andere Ressource, die mit einem Netzwerk oder dem Internet verbunden ist. Zum Beispiel aws.amazon.com der FQDN für Amazon Web Services. An FQDN umfasst alle Domains bis hin zur Top-Level-Domain. [subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]Stellt beispielsweise das allgemeine Format eines dar. FQDN

PQDN

Ein Domänenname, der nicht vollständig qualifiziert ist, wird als teilqualifizierter Domänenname (PQDN) bezeichnet und ist mehrdeutig. Ein Name wie [subdomain1.subdomain2.] ist aPQDN, weil die Stammdomäne nicht bestimmt werden kann.

Ver- und Entschlüsselung

Die Verschlüsselung ist der Prozess, um Daten vertraulich bereitzustellen. Die Entschlüsselung kehrt den Prozess um und stellt die ursprünglichen Daten wieder her. Nicht verschlüsselte Daten werden in der Regel als Klartext bezeichnet, ob es sich um einen Text handelt oder nicht. Verschlüsselte Daten werden in der Regel Verschlüsselungstext genannt. HTTPSDie Verschlüsselung von Nachrichten zwischen Clients und Servern verwendet Algorithmen und Schlüssel. Algorithmen definieren das step-by-step Verfahren, mit dem Klartextdaten in Chiffretext (Verschlüsselung) und Chiffretext wieder in den ursprünglichen Klartext umgewandelt werden (Entschlüsselung). Schlüssel werden von Algorithmen während der Verschlüsselung und Entschlüsselung verwendet. Schlüssel können entweder privat oder öffentlich sein.

Vollqualifizierter Domainname () FQDN

Siehe Domainnamen.

Public Key Infrastructure

Eine Public-Key-Infrastruktur (PKI) besteht aus Hardware, Software, Mitarbeitern, Richtlinien, Dokumenten und Verfahren, die zum Erstellen, Ausstellen, Verwalten, Verteilen, Verwenden, Speichern und Widerrufen digitaler Zertifikate erforderlich sind. PKIerleichtert die sichere Übertragung von Informationen über Computernetzwerke.

Stammzertifikat

Eine Zertifizierungsstelle (CA) besteht in der Regel innerhalb einer hierarchischen Struktur, die mehrere andere CAs mit klar definierten Eltern-Kind-Beziehungen zwischen ihnen enthält. Untergeordnete oder untergeordnete Personen CAs werden von ihren Eltern zertifiziertCAs, wodurch eine Zertifikatskette entsteht. Die CA oben in der Hierarchie wird als die Stamm-CA bezeichnet und ihr Zertifikat wird Stammzertifikat genannt. Dieses Zertifikat ist in der Regel selbstsigniert.

Secure Sockets Layer () SSL

Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind kryptografische Protokolle, die Kommunikationssicherheit über ein Computernetzwerk bieten. TLSist der Nachfolger von. SSL Beide verwenden X.509-Zertifikate, um den Server zu authentifizieren. Beide Protokolle verhandeln einen symmetrischen Schlüssel zwischen dem Client und dem Server, der für die Verschlüsselung von Daten zwischen den beiden Entitäten verwendet wird.

Sicher HTTPS

HTTPSsteht für HTTP SSL over/TLS, eine sichere Form davonHTTP, die von allen gängigen Browsern und Servern unterstützt wird. Alle HTTP Anfragen und Antworten werden verschlüsselt, bevor sie über ein Netzwerk gesendet werden. HTTPSkombiniert das HTTP Protokoll mit symmetrischen, asymmetrischen und auf X.509-Zertifikaten basierenden kryptografischen Techniken. HTTPSfunktioniert, indem im Modell Open Systems Interconnection () eine kryptografische Sicherheitsschicht unterhalb der HTTP Anwendungsschicht und oberhalb der TCP Transportschicht eingefügt wird. OSI Die Sicherheitsebene verwendet das Secure Sockets Layer (SSL) -Protokoll oder das Transport Layer Security (TLS) -Protokoll.

SSLServerzertifikate

HTTPSFür Transaktionen sind Serverzertifikate erforderlich, um einen Server zu authentifizieren. Ein Serverzertifikat ist eine X.509-v3-Datenstruktur, mit der der öffentliche Schlüssel im Zertifikat an das Subject des Zertifikats gebunden wird. EinSSL/TLS-Zertifikat ist von einer Zertifizierungsstelle (CA) signiert und enthält den Namen des Servers, den Gültigkeitszeitraum, den öffentlichen Schlüssel, den Signaturalgorithmus und mehr.

Symmetrische Schlüssel-Kryptografie

Die symmetrische Schlüssel-Kryptografie verwendet denselben Schlüssel zur Ver- und Entschlüsselung von digitalen Daten. Siehe auch Verschlüsselung mit asymmetrischem Schlüssel.

Sicherheit auf Transportschicht (TLS)

Siehe Secure Sockets Layer () SSL.

Vertrauensstellung

Damit ein Webbrowser der Identität einer Website vertraut, muss der Browser das Zertifikat der Website überprüfen können. Browser vertrauen jedoch nur einer kleinen Anzahl von Zertifikaten, die als CA-Stammzertifikate bekannt sind. Ein vertrauenswürdiger Dritter, als Zertifikatsstelle (Certificate Authority, CA) bezeichnet, validiert die Identität der Website und stellt ein signiertes digitales Zertifikat für den Betreiber der Website aus. Der Browser kann dann die digitale Signatur überprüfen, um die Identität der Website zu validieren. Wenn die Validierung erfolgreich ist, zeigt der Browser ein Schlosssymbol in der Adressleiste an.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.