Private Zertifikate in AWS Certificate Manager - AWS Certificate Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Private Zertifikate in AWS Certificate Manager

Wenn Sie Zugriff auf eine bestehende private Zertifizierungsstelle haben, die von erstellt wurde AWS Private CA, kann AWS Certificate Manager (ACM) ein Zertifikat anfordern, das für die Verwendung in Ihrer privaten Schlüsselinfrastruktur (PKI) geeignet ist. Die Zertifizierungsstelle kann sich entweder in Ihrem Konto befinden oder von einem anderen Konto für Sie freigegeben werden. Informationen zum Erstellen einer Private Certificate Authority finden Sie unter Erstellen einer Private Certificate Authority.

Zertifikate, die von einer privaten Zertifizierungsstelle signiert wurden, sind standardmäßig nicht vertrauenswürdig, und ACM unterstützt keine Form der Validierung für sie. Folglich muss ein Administrator Maßnahmen ergreifen, um sie in den Client Trust Stores Ihres Unternehmens zu installieren.

Private ACM-Zertifikate entsprechen dem X.509-Standard und unterliegen den folgenden Einschränkungen:

  • Namen: Sie müssen DNS-konforme Betreffnamen verwenden. Weitere Informationen finden Sie unter Domainnamen.

  • Algorithmus: Für die Verschlüsselung muss der Algorithmus für den privaten Schlüssel des Zertifikats entweder 2048-Bit-RSA, 256-Bit-ECDSA oder 384-Bit-ECDSA sein.

    Anmerkung

    Die angegebene Signatur-Algorithmusfamilie (RSA oder ECDSA) muss mit der Algorithmusfamilie des geheimen Schlüssels der Zertifizierungsstelle übereinstimmen.

  • Gültigkeitsdauer: Jedes Zertifikat ist 13 Monate (395 Tage) gültig. Das Enddatum des signierenden CA-Zertifikats muss nach dem Enddatum des angeforderten Zertifikats liegen, sonst schlägt die Zertifikatsanforderung fehl.

  • Erneuern: ACM versucht, ein privates Zertifikat nach 11 Monaten automatisch zu erneuern.

Die private CA, die zum Signieren der Endentitätszertifikaten verwendet wird, unterliegt ihren eigenen Einschränkungen:

  • Der Status der CA muss aktiv sein.

  • Der private Schlüsselalgorithmus der CA muss RSA 2048 oder RSA 4096 sein.

Anmerkung

Im Gegensatz zu öffentlich vertrauenswürdigen Zertifikaten müssen von einer privaten CA signierte Zertifikate nicht validiert werden.