Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beheben Sie andere Probleme
Dieser Abschnitt enthält Anleitungen für Probleme, die nicht mit der Ausstellung oder Validierung von ACM-Zertifikaten zusammenhängen.
**Topics**
+ [Beheben von Problemen mit der Certification Authority Authorization (CAA)](troubleshooting-caa.md)
+ [Zertifikatsimport](troubleshoot-import.md)
+ [Zertifikatsimport](troubleshooting-pinning.md)
+ [API Gateway Probleme](troubleshoot-apigateway.md)
+ [Was zu tun ist, wenn ein Arbeitszertifikat unerwartet fehlschlägt](unexpected-failure.md)
+ [Probleme mit der ACM-servicegebundene Rolle (Service-Linked Role, SLR)](slr-problems.md)
# Beheben von Problemen mit der Certification Authority Authorization (CAA)
Sie können mit CAA-DNS-Datensätzen festlegen, dass die Amazon Zertifikatsstelle (CA) ACM-Zertifikate für Ihre Domain oder Unterdomain ausstellen darf. Wenn Sie beim Ausstellen eines Zertifikats die Fehlermeldung erhalten, dass **ein oder mehrere Domainnamen wegen eines Fehlers der Certification Authority Authorization (CAA) nicht validiert werden konnten**, sollten Sie Ihre CAA-DNS-Datensätze überprüfen. Wenn Sie diesen Fehler erhalten, nachdem Ihr ACM-Zertifikatsantrag erfolgreich validiert wurde, müssen Sie Ihre CAA-Datensätze aktualisieren und erneut ein Zertifikat anfordern. Das Feld **value** (Wert) in Ihrem CAA-Datensatz muss einen der folgenden Domainnamen enthalten:
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com
Weitere Informationen zum Erstellen eines CAA-Datensatzes finden Sie unter [(Optional) CAA-Datensatz konfigurieren](setup.md#setup-caa).
**Anmerkung**
Wenn Sie verhindern möchten, dass die CAA-Prüfung aktiviert wird, können Sie darauf verzichten, einen CAA-Datensatz für Ihre Domain zu konfigurieren.
# Zertifikatsimport
Sie können Zertifikate von Dritten in ACM importieren und sie [integrierten Services](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) zuordnen. Wenn Probleme auftreten, lesen Sie in den Themen [Voraussetzungen](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) und [Zertifikatformat](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-format.html) nach. Beachten Sie insbesondere Folgendes:
+ Sie können nur SSL/TLS X.509-Zertifikate der Version 3 importieren.
+ Ihr Zertifikat kann selbstsigniert oder von einer Zertifizierungsstelle (CA, Certificate Authority) signiert sein.
+ Wenn Ihr Zertifikat von einer Zertifizierungsstelle signiert ist, müssen Sie eine Zwischenzertifikatkette einschließen, die einen Pfad zum Root of Authority bereitstellt.
+ Wenn Ihr Zertifikat selbstsigniert ist, müssen Sie den privaten Schlüssel in Klartext einschließen.
+ Jedes Zertifikat in der Kette muss jeweils direkt das vorhergehende Zertifikat zertifizieren.
+ Fügen Sie Ihr Endentitätszertifikat nicht in die Zwischenzertifikatkette ein.
+ Ihr Zertifikat, Ihre Zertifikatkette und der private Schlüssel (falls vorhanden) müssen PEM--kodiert sein. Im Allgemeinen besteht die PEM-Kodierung aus Blöcken mit Base64-kodiertem ASCII-Text, die mit Klartext-Kopf- und Fußzeilen beginnen und enden. Sie dürfen keine Zeilen oder Leerzeichen hinzufügen oder andere Änderungen an einer PEM-Datei vornehmen, während Sie sie kopieren oder hochladen. Sie können Zertifikatketten mit dem[Dienstprogramm OpenSSL überprüfen](https://www.openssl.org/docs/manmaster/man1/openssl-verify.html)aus.
+ Ihr privater Schlüssel (sofern vorhanden) darf nicht verschlüsselt sein. (Tipp: Wenn es eine Passphrase hat, ist sie verschlüsselt.)
+ Services[Integrierte](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)mit ACM muss ACM-unterstützte Algorithmen und Schlüsselgrößen verwenden. Sehen Sie im AWS Certificate Manager Benutzerhandbuch und in der Dokumentation der einzelnen Dienste nach, um sicherzustellen, dass Ihr Zertifikat funktioniert.
+ Die Zertifikatunterstützung durch integrierten Service kann sich abhängig davon unterscheiden, ob das Zertifikat oder in IAM oder in ACM importiert werden.
+ Das Zertifikat muss gültig sein, wenn es importiert wird.
+ Detaillierte Informationen über alle Ihre Zertifikate werden in der Konsole angezeigt. Wenn Sie jedoch die [ListCertificates](https://docs.aws.amazon.com/acm/latest/APIReference/API_ListCertificates.html)API oder den AWS CLI Befehl [list-certificates](https://docs.aws.amazon.com/cli/latest/reference/acm/list-certificates.html) aufrufen, ohne den `keyTypes` Filter anzugeben, werden standardmäßig nur `RSA_1024` `RSA_2048` Zertifikate angezeigt.
# Zertifikatsimport
Zur Erneuerung eines Zertifikats generiert ACM ein neues öffentlich-privates Schlüsselpaar. Wenn Ihre Anwendung ein ACM-Zertifikat mithilfe [Zertifikat-Pinning](acm-bestpractices.md#best-practices-pinning) von SSL-Pinning anheftet, kann die Anwendung nach AWS der Verlängerung des Zertifikats möglicherweise keine Verbindung zu Ihrer Domain herstellen. Aus diesem Grund raten wir davon ab, dass Sie ein ACM-Zertifikat pinnen. Wenn Ihre Anwendung ein Zertifikat pinnen muss, können Sie folgende Schritte ausführen:
+ [Importieren Sie Ihr Zertifikat](import-certificate.md) in ACM und pinnen Sie dann Ihre Anwendung an das importierte Zertifikat. ACM bietet keine verwaltete Erneuerung für importierte Zertifikate.
+ Wenn Sie ein öffentliches Zertifikat verwenden, heften Sie Ihre Anwendung an alle verfügbaren [Amazon-Stammzertifikate](https://www.amazontrust.com/repository/) an. Wenn Sie ein privates Zertifikat verwenden, heften Sie Ihre Anwendung an das Stammzertifikat der Zertifizierungsstelle an.
# API Gateway Probleme
Wenn Sie einen *Edge-optimierten* API-Endpunkt bereitstellen, richtet API Gateway eine CloudFront Verteilung für Sie ein. Die CloudFront Distribution gehört API Gateway, nicht Ihrem Konto. Die Verteilung ist an das ACM-Zertifikat gebunden, das Sie zur Bereitstellung Ihrer API verwendet haben. Um die Bindung zu entfernen und ACM das Löschen Ihres Zertifikats zu ermöglichen, müssen Sie die benutzerdefinierte API-Gateway-Domain entfernen, die mit dem Zertifikat verknüpft ist.
Wenn Sie einen *regionalen* API-Endpunkt bereitstellen, erstellt API Gateway in Ihrem Namen einen Application Load Balancer (ALB). Der Load Balancer gehört zu API Gateway und ist für Sie nicht sichtbar. Der ALB ist an das ACM-Zertifikat gebunden, das Sie zur Bereitstellung Ihrer API verwendet haben. Um die Bindung zu entfernen und ACM das Löschen Ihres Zertifikats zu ermöglichen, müssen Sie die benutzerdefinierte API-Gateway-Domain entfernen, die mit dem Zertifikat verknüpft ist.
# Was zu tun ist, wenn ein Arbeitszertifikat unerwartet fehlschlägt
Wenn Sie erfolgreich ein ACM-Zertifikat mit einem integrierten Dienst verknüpft haben, das Zertifikat jedoch nicht mehr funktioniert und der integrierte Dienst beginnt, Fehler zurückzugeben, kann die Ursache eine Änderung der Berechtigungen sein, die der Dienst benötigt, um ein ACM-Zertifikat zu verwenden.
Elastic Load Balancing (ELB) benötigt beispielsweise die Erlaubnis zur Entschlüsselung, AWS KMS key die wiederum den privaten Schlüssel des Zertifikats entschlüsselt. Diese Berechtigung wird durch eine ressourcenbasierte Richtlinie erteilt, die ACM anwendet, wenn Sie ein Zertifikat mit ELB verknüpfen. Wenn ELB die Berechtigung für diese Berechtigung verliert, schlägt sie beim nächsten Versuch fehl, den Zertifikatschlüssel zu entschlüsseln.
Um das Problem zu untersuchen, überprüfen Sie den Status Ihrer Grants in der AWS KMS Konsole unter. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) Führen Sie dann eine der folgenden Aktionen durch:
+ Wenn Sie der Meinung sind, dass Berechtigungen, die einem integrierten Dienst gewährt wurden, widerrufen wurden, besuchen Sie die Konsole des integrierten Dienstes, trennen Sie die Zuordnung des Zertifikats vom Dienst und verknüpfen Sie es dann erneut. Dadurch wird die ressourcenbasierte Politik erneut angewendet und ein neuer Zuschuss eingeführt.
+ Wenn Sie glauben, dass ACM erteilte Berechtigungen entzogen wurden, wenden Sie sich Support an at https://console.aws.amazon.com/support/ home\$1/.
# Probleme mit der ACM-servicegebundene Rolle (Service-Linked Role, SLR)
[Wenn Sie ein von einer privaten Zertifizierungsstelle signiertes Zertifikat ausstellen, das Ihnen von einem anderen Konto zur Verfügung gestellt wurde, versucht ACM bei der ersten Verwendung, eine serviceverknüpfte Rolle (SLR) einzurichten, die als Principal mit einer ressourcenbasierten Zugriffsrichtlinie interagiert. AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/pca-resource-sharing.html#pca-rbp) Wenn Sie ein privates Zertifikat von einer freigegebenen Zertifizierungsstelle ausstellen und die SLR nicht vorhanden ist, kann ACM dieses Zertifikat nicht automatisch für Sie erneuern.
ACM weist Sie möglicherweise darauf hin, dass es nicht feststellen kann, ob eine Spiegelreflexkamera in Ihrem Konto vorhanden ist. Wenn die erforderliche`iam:GetRole`-Berechtigung bereits der ACM-SLR für Ihr Konto erteilt wurde, wird die Warnung nach der Erstellung der Spiegelreflexkamera nicht mehr angezeigt. Wenn dies erneut auftritt, müssen Sie oder Ihr Kontoadministrator möglicherweise die`iam:GetRole`Berechtigung für ACM, oder verknüpfen Sie Ihr Konto mit der von ACM verwalteten Richtlinie`AWSCertificateManagerFullAccess`aus.
Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.