Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Erneuerung des privaten Zertifikats in AWS Certificate Manager

PDF
RSS
Fokusmodus
Erneuerung des privaten Zertifikats in AWS Certificate Manager - AWS Certificate Manager
Automatisieren Sie den Export erneuerter ZertifikateTesten der verwalteten Erneuerung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ACMZertifikate, die von einer privaten Zertifizierungsstelle von signiert wurden AWS Private CA kommen für eine verwaltete Verlängerung in Frage. Im Gegensatz zu öffentlich vertrauenswürdigen ACM Zertifikaten PKI erfordert ein Zertifikat für ein privates Zertifikat keine Validierung. Vertrauenswürdigkeit wird hergestellt, wenn ein Administrator das entsprechende Stammzertifizierungsstellenzertifikat in Clientvertrauensspeichern installiert.

Anmerkung

Nur Zertifikate, die über die ACM Konsole oder über die RequestCertificateKonsole erworben wurden, ACM API kommen für eine verwaltete Verlängerung in Frage. Zertifikate, die direkt ausgestellt wurden von AWS Private CA unter Verwendung der IssueCertificateAktion des AWS Private CA APIwerden nicht verwaltet vonACM.

Wenn ein verwaltetes Zertifikat in 60 Tagen abläuft, ACM wird automatisch versucht, es zu verlängern. Dazu gehören Zertifikate, die manuell exportiert und installiert wurden (z. B. in einem On-Premises-Rechenzentrum). Kunden können die Verlängerung auch jederzeit erzwingen, indem sie die RenewCertificateAktion von verwenden ACMAPI. Eine Beispiel-Java-Implementierung der erzwungenen Erneuerung finden Sie unterErneuern eines Zertifikatsaus.

Nach der Erneuerung erfolgt die Bereitstellung eines -Zertifikats auf eine der folgenden Arten:

Automatisieren Sie den Export erneuerter Zertifikate

Das folgende Verfahren bietet eine Beispiellösung für die Automatisierung des Exports Ihrer privaten PKI Zertifikate bei deren ACM Verlängerung. In diesem Beispiel werden nur ein Zertifikat und sein privater Schlüssel aus exportiert. ACM Nach dem Export muss das Zertifikat weiterhin auf dem Zielgerät installiert sein.

Automatisieren des Zertifikatexports mithilfe der Konsole

  1. Folgende Verfahren finden Sie in AWS Lambda Developer Guide, erstellen und konfigurieren Sie eine Lambda-Funktion, die Export aufruftACM. API

    1. Erstellen Sie eine Lambda-Funktion.

    2. Erstellen einer Lambda-Ausführungsrolle für Ihre Funktion und fügen Sie ihr die folgende Vertrauensrichtlinie hinzu. Die Richtlinie erteilt dem Code in Ihrer Funktion die Erlaubnis, das erneuerte Zertifikat und den privaten Schlüssel abzurufen, indem die ExportCertificateAktion von aufgerufen wird. ACM API

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm:ExportCertificate",
         "Resource":"*"
      }
   ]
}

  2. Erstellen Sie in Amazon eine Regel EventBridge, um auf ACM Gesundheitsereignisse zu warten, und rufen Sie Ihre Lambda-Funktion auf, wenn sie eines erkennt. ACMschreibt an eine AWS Health Ereignis bei jedem Versuch, ein Zertifikat zu erneuern. Weitere Informationen zu diesen Werten finden Sie unter Überprüfen Sie den Status mit dem Personal Health Dashboard (PHD).

    Konfigurieren Sie die Regel, indem Sie das folgende Ereignismuster hinzufügen.

    {
   "source":[
      "aws.health"
   ],
   "detail-type":[
      "AWS Health Event"
   ],
   "detail":{
      "service":[
         "ACM"
      ],
      "eventTypeCategory":[
         "scheduledChange"
      ],
      "eventTypeCode":[
         "AWS_ACM_RENEWAL_STATE_CHANGE"
      ]
   },
   "resources":[
      "arn:aws:acm:region:account:certificate/certificate_ID"
   ]
}

  3. Schließen Sie den Erneuerungsprozess ab, indem Sie das Zertifikat manuell auf dem Zielsystem installieren.

Testen Sie die verwaltete Verlängerung von privaten PKI Zertifikaten

Sie können das oder verwenden ACM API AWS CLI um die Konfiguration Ihres ACM verwalteten Verlängerungsworkflows manuell zu testen. Auf diese Weise können Sie sicherstellen, dass Ihre Zertifikate ACM vor Ablauf automatisch verlängert werden.

Anmerkung

Sie können nur die Verlängerung von Zertifikaten testen, die ausgestellt und exportiert wurden von AWS Private CA.

Wenn Sie die unten beschriebenen API Aktionen oder CLI Befehle verwenden, wird ACM versucht, das Zertifikat zu erneuern. Wenn die Verlängerung erfolgreich ist, werden die Metadaten des Zertifikats ACM aktualisiert, die in der Managementkonsole oder in der API Ausgabe angezeigt werden. Wenn das Zertifikat mit einem ACM integrierten Service verknüpft ist, wird das neue Zertifikat bereitgestellt und ein Verlängerungsereignis wird in Amazon CloudWatch Events generiert. Schlägt die Verlängerung fehl, wird ein Fehler ACM zurückgegeben und es werden Abhilfemaßnahmen vorgeschlagen. (Sie können diese Informationen mit derdescribe-certificate-Befehl.) Wenn das Zertifikat nicht über einen integrierten Dienst bereitgestellt wird, müssen Sie es trotzdem exportieren und manuell auf Ihrer Ressource installieren.

Wichtig

Um Ihre zu verlängern AWS Private CA Zertifikate mitACM, Sie müssen dem ACM Dienstprinzipal zunächst die entsprechenden Berechtigungen erteilen. Weitere Informationen finden Sie unter Zuweisen von Berechtigungen zur Zertifikatserneuerung an ACM.

Um die Zertifikatserneuerung manuell zu testen (AWS CLI)

  1. Verwenden Sie den Befehl renew-certificate, um ein privates exportiertes Zertifikat zu erneuern.

    aws acm renew-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

  2. Verwenden Sie dann den Befehl describe-certificate, um zu prüfen, ob die Details der Zertifikatserneuerung aktualisiert wurden.

    aws acm describe-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
Um die Zertifikatsverlängerung manuell zu testen (ACMAPI)

  • Senden Sie eine RenewCertificateAnfrage, in ARN der Sie angeben, welches private Zertifikat erneuert werden soll. Verwenden Sie dann den DescribeCertificateVorgang, um zu überprüfen, ob die Verlängerungsdetails des Zertifikats aktualisiert wurden.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.