Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwalten von Serverzertifikaten in IAM
Um HTTPS-Verbindungen zu Ihrer Website oder Anwendung zu aktivieren AWS, benötigen Sie ein SSL/TLS-Serverzertifikat. Für Zertifikate in einer Region, die von AWS Certificate Manager (ACM) unterstützt wird, empfehlen wir die Verwendung von für Bereitstellung und Verwaltung Ihrer Server-Zertifikate. In nicht unterstützten Regionen müssen Sie IAM für die Verwaltung der Zertifikate verwenden. Informationen darüber, welche Regionen ACM unterstützt, finden Sie unter AWS Certificate Manager -Endpunkte und -Kontingente im Allgemeine AWS-Referenz.
Für die Bereitstellung und Verwaltung von Serverzertifikaten empfehlen wir ACM zu verwenden. Mit ACM können Sie ein Zertifikat anfordern oder ein vorhandenes ACM- oder externes Zertifikat für Ressourcen bereitstellen. AWS Die von ACM bereitgestellten Zertifikate sind kostenlos und werden automatisch verlängert. In einer unterstützten Region können Sie mit ACM Serverzertifikate über die Konsole oder programmgesteuert verwalten. Weitere Informationen zu ACM finden Sie im AWS Certificate Manager -Leitfaden. Weitere Informationen zum Anfordern eines -Zertifikats finden Sie unter Anfordern eines öffentlichen Zertifikats oder Anfordern eines privaten Zertifikats AWS Certificate Manager im . Weitere Informationen zum Importieren von Zertifikaten von Drittanbietern in ACM finden Sie unter Importieren von Zertifikaten im AWS Certificate Manager -Benutzerhandbuch.
Verwenden Sie IAM als Zertifikatmanager nur für die Unterstützung von HTTPS-Verbindungen in einer Region, die nicht von ACM unterstützt wird. IAM bietet eine sichere Verschlüsselungsmethode für Ihre privaten Schlüssel und speichert die verschlüsselte Version in einem SSL-Zertifikatspeicher in IAM. IAM unterstützt die Bereitstellung von Serverzertifikaten in allen Regionen, Sie müssen Ihr Zertifikat jedoch von einem externen Anbieter beziehen, damit Sie es verwenden können. AWS ACM-Zertifikate können nicht in IAM hochgeladen werden. Außerdem ist es nicht möglich, Zertifikate auf der IAM-Konsole zu verwalten.
Weitere Informationen zum Hochladen von Drittanbieterzertifikaten in IAM finden Sie in den folgenden Themen.
Inhalt
- Hochladen eines Serverzertifikats (API)AWS
- Abrufen eines Serverzertifikats (API)AWS
- Serverzertifikate auflisten (API)AWS
- Markierung und Entfernung der Markierung von Serverzertifikaten (AWS -API)
- Umbenennen eines Serverzertifikats oder Aktualisierung seines Pfads (API)AWS
- Löschen eines Serverzertifikats (API)AWS
- Fehlerbehebung
Hochladen eines Serverzertifikats (API)AWS
Um ein Serverzertifikat in IAM hochzuladen, müssen Sie das Zertifikat bereitstellen und dessen privaten Schlüssel verwalten. Wenn das Zertifikat nicht selbstsigniert ist, müssen Sie auch eine Zertifikatskette bereitstellen. (Zum Hochladen eines selbstsignierten Zertifikats benötigen Sie keine Zertifikatskette.) Bevor Sie ein Zertifikat hochladen, stellen Sie sicher, dass folgende Voraussetzungen erfüllt sind:
-
Das Zertifikat muss zum Zeitpunkt des Hochladens gültig sein. Sie können ein Zertifikat nicht vor Beginn des Gültigkeitszeitraums (das Datum
NotBefore
des Zertifikats) oder nach Ablauf der Gültigkeit (das DatumNotAfter
des Zertifikats) hochladen. -
Der private Schlüssel muss unverschlüsselt sein. Sie können keinen privaten Schlüssel hochladen, der durch ein Passwort oder eine Passphrase geschützt ist. Informationen zum Entschlüsseln von verschlüsselten privaten Schlüsseln finden Sie unter Fehlerbehebung.
-
Das Zertifikat, der private Schlüssel und die Zertifikatskette müssen PEM-kodiert sein. Informationen zum Konvertieren dieser Elemente ins PEM-Format finden Sie unter Fehlerbehebung.
Um die IAM-API zum Hochladen eines Zertifikats zu verwenden, senden Sie eine UploadServerCertificateAnfrage. Im folgenden Beispiel wird gezeigt, wie Sie dies mit dem AWS Command Line Interface (AWS CLI)
-
Das PEM-kodierte Zertifikat ist in einer Datei mit dem Namen
Certificate.pem
gespeichert. -
Das PEM-kodierte Zertifikatkette ist in einer Datei mit dem Namen
CertificateChain.pem
gespeichert. -
Das PEM-kodierte Zertifikat ist in einer Datei mit dem Namen
PrivateKey.pem
gespeichert. -
(Optional) Sie möchten das Serverzertifikat mit einem Schlüsselwertpaar kennzeichnen. Sie können beispielsweise den Tag-Schlüssel
Department
und den Tag-WertEngineering
hinzufügen, um Ihnen bei der Identifizierung und Organisation Ihrer Zertifikate zu helfen.
Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie diese Dateinamen durch Ihre eigenen. ExampleCertificate
Ersetzen Sie es durch einen Namen für Ihr hochgeladenes Zertifikat. Wenn Sie das Zertifikat taggen möchten, ersetzen Sie das Schlüssel-Wert-Paar ExampleKey
und das ExampleValue
Tag-Schlüssel-Wert-Paar durch Ihre eigenen Werte. Geben Sie den Befehl durchgehend in einer Zeile ein. Das folgende Beispiel enthält Zeilenumbrüche und zusätzliche Leerzeichen, um das Lesen zu vereinfachen.
aws iam upload-server-certificate --server-certificate-name
ExampleCertificate
--certificate-body file://Certificate.pem
--certificate-chain file://CertificateChain.pem
--private-key file://PrivateKey.pem
--tags '{"Key": "ExampleKey
", "Value": "ExampleValue
"}'
Wenn der vorherige Befehl erfolgreich ausgeführt wurde, werden Metadaten zum hochgeladenen Zertifikat einschließlich dessen Amazon-Ressourcennamen (ARN), dem Anzeigenamen, der ID, dem Ablaufdatum, Tags usw. zurückgegeben.
Anmerkung
Wenn Sie ein Serverzertifikat zur Verwendung mit Amazon hochladen CloudFront, müssen Sie mit der --path
Option einen Pfad angeben. Der Pfad muss mit /cloudfront
beginnen und mit einem Schrägstrich enden (z. B. /cloudfront/test/
).
Um das zum Hochladen eines Zertifikats AWS Tools for Windows PowerShell zu verwenden, verwenden Sie ServerCertificatePublish-IAM.
Abrufen eines Serverzertifikats (API)AWS
Um die IAM-API zum Abrufen eines Zertifikats zu verwenden, senden Sie eine GetServerCertificateAnfrage. Das folgende Beispiel zeigt, wie Sie dies mit dem AWS CLI tun können. ExampleCertificate
Ersetzen Sie es durch den Namen des abzurufenden Zertifikats.
aws iam get-server-certificate --server-certificate-name
ExampleCertificate
Wenn der vorherige Befehl erfolgreich ausgeführt wurde, werden das Zertifikat, die Zertifikatskette (wenn eine hochgeladen wurde) sowie Metadaten zum Zertifikat zurückgegeben.
Anmerkung
Sie können private Schlüssel nach dem Hochladen nicht mehr aus IAM herunterladen oder abrufen.
Um das zum Abrufen eines Zertifikats AWS Tools for Windows PowerShell zu verwenden, verwenden Sie Get-IAM ServerCertificate.
Serverzertifikate auflisten (API)AWS
Um die IAM-API zum Auflisten Ihrer hochgeladenen Serverzertifikate zu verwenden, senden Sie eine ListServerCertificatesAnfrage. Das folgende Beispiel zeigt, wie Sie dies mit dem AWS CLI tun können.
aws iam list-server-certificates
Wenn der vorherige Befehl erfolgreich ausgeführt wurde, wird eine Liste mit Metadaten zu den einzelnen Zertifikaten zurückgegeben.
Verwenden Sie ServerCertificatesGet-IAM AWS Tools for Windows PowerShell, um Ihre hochgeladenen Serverzertifikate aufzulisten.
Markierung und Entfernung der Markierung von Serverzertifikaten (AWS -API)
Sie können Ihren IAM-Ressourcen Tags hinzufügen, um den Zugriff auf sie zu organisieren und zu kontrollieren. Um die IAM-API zum Markieren eines vorhandenen Serverzertifikats zu verwenden, senden Sie eine Anfrage. TagServerCertificate Das folgende Beispiel zeigt, wie Sie dies mit dem AWS CLI tun können.
aws iam tag-server-certificate --server-certificate-name
ExampleCertificate
--tags '{"Key": "ExampleKey
", "Value": "ExampleValue
"}'
Wenn der vorhergehende Befehl erfolgreich ausgeführt wurde, wird keine Ausgabe zurückgegeben.
Um die IAM-API zum Aufheben der Markierung eines Serverzertifikats zu verwenden, senden Sie eine Anfrage. UntagServerCertificate Das folgende Beispiel zeigt, wie Sie dies mit dem AWS CLI tun können.
aws iam untag-server-certificate --server-certificate-name
ExampleCertificate
--tag-keysExampleKeyName
Wenn der vorhergehende Befehl erfolgreich ausgeführt wurde, wird keine Ausgabe zurückgegeben.
Umbenennen eines Serverzertifikats oder Aktualisierung seines Pfads (API)AWS
Um mit der IAM-API ein Serverzertifikat umzubenennen oder seinen Pfad zu aktualisieren, senden Sie eine UpdateServerCertificateAnfrage. Das folgende Beispiel zeigt, wie Sie dies mit dem AWS CLI tun können.
Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie den alten und neuen Zertifikatnamen und den Zertifikatspfad und geben Sie den Befehl durchgehend in einer Zeile ein. Das folgende Beispiel enthält Zeilenumbrüche und zusätzliche Leerzeichen, um das Lesen zu vereinfachen.
aws iam update-server-certificate --server-certificate-name
ExampleCertificate
--new-server-certificate-nameCloudFrontCertificate
--new-path/cloudfront/
Wenn der vorherige Befehl erfolgreich ausgeführt wurde, erfolgt keine Ausgabe.
Löschen eines Serverzertifikats (API)AWS
Um die IAM-API zum Löschen eines Serverzertifikats zu verwenden, senden Sie eine DeleteServerCertificateAnfrage. Das folgende Beispiel zeigt, wie Sie dies mit dem AWS CLI tun können.
Um den folgenden Beispielbefehl zu verwenden, ExampleCertificate
ersetzen Sie ihn durch den Namen des zu löschenden Zertifikats.
aws iam delete-server-certificate --server-certificate-name
ExampleCertificate
Wenn der vorherige Befehl erfolgreich ausgeführt wurde, erfolgt keine Ausgabe.
Um das zum Löschen eines Serverzertifikats AWS Tools for Windows PowerShell zu verwenden, verwenden Sie Remove-IAM. ServerCertificate
Fehlerbehebung
Bevor Sie ein Zertifikat in IAM hochladen können, müssen Sie sicherstellen, dass das Zertifikat, der private Schlüssel und die Zertifikatskette PEM-kodiert sind. Sie müssen außerdem dafür sorgen, dass der private Schlüssel nicht verschlüsselt ist. Sehen Sie sich die folgenden Beispiele an.
Beispiel für ein PEM-kodiertes Zertifikat
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE-----
Beispiel eines PEM-kodierten, unverschlüsselten privaten Schlüssels
-----BEGIN RSA PRIVATE KEY-----
Base64-encoded private key
-----END RSA PRIVATE KEY-----
Beispiel PEM-kodierte Zertifikatkette
Eine Zertifikatkette enthält ein oder mehrere Zertifikate. Sie können Ihre Zertifikatdateien mit einem Texteditor, dem Kopierbefehl in Windows oder dem cat-Befehl in Linux zu einer Kette verknüpfen. Wenn Sie mehrere Zertifikate einbeziehen, muss jedes Zertifikat das vorhergehende Zertifikat zertifizieren. Dazu müssen Sie die Zertifikate verketten, darunter das Zertifikat der Stammzertifizierungsstelle als letztes.
Das folgende Beispiel enthält drei Zertifikate, Ihre Zertifikatkette enthält möglicherweise jedoch mehr oder weniger Zertifikate.
-----BEGIN CERTIFICATE-----
Base64-encoded certificate
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Base64-encoded certificate
-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Base64-encoded certificate
-----END CERTIFICATE-----
Wenn diese Elemente nicht im richtigen Format zum Hochladen in IAM vorliegen, können Sie sie mit OpenSSL
- So konvertieren Sie ein Zertifikat oder eine Zertifikatskette von DER zu PEM
-
Verwenden Sie den Befehl OpenSSL x509
wie im folgenden Beispiel. Ersetzen Sie im folgenden Beispielbefehl
durch den Namen der Datei, die das DER-kodierte Zertifikat enthält. Ersetzen SieCertificate.der
durch den gewünschten Namen der Ausgabedatei, die das PEM-codierte Zertifikat enthalten soll.Certificate.pem
openssl x509 -inform DER -in
Certificate.der
-outform PEM -outCertificate.pem
- So konvertieren Sie einen privaten Schlüssel von DER zu PEM
-
Verwenden Sie den Befehl OpenSSL rsa
wie im folgenden Beispiel. Ersetzen Sie im folgenden Beispielbefehl
durch den Namen der Datei, die den DER-kodierten privaten Schlüssel enthält. Ersetzen SiePrivateKey.der
durch den gewünschten Namen der Ausgabedatei, die den PEM-codierten privaten Schlüssel enthalten soll.PrivateKey.pem
openssl rsa -inform DER -in
PrivateKey.der
-outform PEM -outPrivateKey.pem
- So entschlüsseln Sie einen verschlüsselten privaten Schlüssel (Entfernen eines Passworts oder einer Passphrase)
-
Verwenden Sie den Befehl OpenSSL rsa
wie im folgenden Beispiel. Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie
durch den Namen der Datei, die den verschlüsselten privaten Schlüssel enthält. Ersetzen SieEncryptedPrivateKey.pem
durch den gewünschten Namen der Ausgabedatei, die den PEM-codierten unverschlüsselten privaten Schlüssel enthalten soll.PrivateKey.pem
openssl rsa -in
EncryptedPrivateKey.pem
-outPrivateKey.pem
- So konvertieren Sie ein Zertifikat-Bundle von PKCS#12 (PFX) zu PEM
-
Verwenden Sie den Befehl OpenSSL pkcs12
wie im folgenden Beispiel. Ersetzen Sie im folgenden Beispielbefehl
durch den Namen der Datei, die das PKCS#12-kodierte Zertifikat-Bundle enthält. Ersetzen SieCertificateBundle.p12
durch den gewünschten Namen der Ausgabedatei, die das PEM-codierte Zertifikat-Bundle enthalten soll.CertificateBundle.pem
openssl pkcs12 -in
CertificateBundle.p12
-outCertificateBundle.pem
-nodes - So konvertieren Sie ein Zertifikat-Bundle von PKCS#7 zu PEM
-
Verwenden Sie den Befehl OpenSSL pkcs7
wie im folgenden Beispiel. Ersetzen Sie im folgenden Beispielbefehl
durch den Namen der Datei, die das PKCS#7-kodierte Zertifikat-Bundle enthält. Ersetzen SieCertificateBundle.p7b
durch den gewünschten Namen der Ausgabedatei, die das PEM-codierte Zertifikat-Bundle enthalten soll.CertificateBundle.pem
openssl pkcs7 -in
CertificateBundle.p7b
-print_certs -outCertificateBundle.pem