AWS Certificate Manager Merkmale und Einschränkungen eines öffentlichen Zertifikats - AWS Certificate Manager
Einschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Certificate Manager Merkmale und Einschränkungen eines öffentlichen Zertifikats

Öffentliche Zertifikate, die von bereitgestellt werden, ACM weisen die Merkmale und Einschränkungen auf, die auf dieser Seite beschrieben sind. Diese Merkmale gelten nur für Zertifikate, die von bereitgestellt wurdenACM. Sie gelten möglicherweise nicht für importierte Zertifikate.

Browser- und Anwendungs-Vertrauensstellung

ACMZertifikate werden von allen gängigen Browsern als vertrauenswürdig eingestuft, darunter Google Chrome, Microsoft Internet Explorer und Microsoft Edge, Mozilla Firefox und Apple Safari. Browser, die ACM Zertifikaten vertrauen, zeigen in ihrer Status- oder Adressleiste ein Schlosssymbol an, wenn sie überSSL/mit Websites TLS verbunden sind, die ACM Zertifikate verwenden. ACMZertifikate werden auch von Java als vertrauenswürdig eingestuft.

Zertifizierungsstelle und Hierarchie

Öffentliche Zertifikate, über die Sie anfordern, erhalten ACM Sie von Amazon Trust Services, einer von Amazon verwalteten öffentlichen Zertifizierungsstelle (CA). Amazon Root CAs 1 bis 4 sind von einem älteren Root namens Starfield G2 Root Certificate Authority — G2 quersigniert. Der Starfield-Stamm wird auf Android-Geräten ab späteren Versionen von Gingerbread und von iOS ab Version 4.1 als vertrauenswürdig eingestuft. Amazon-Stämme werden von iOS ab Version 11 als vertrauenswürdig eingestuft. Jeder Browser, jede Anwendung oder jedes Betriebssystem, das Amazon- oder Starfield-Roots enthält, vertraut öffentlichen Zertifikaten, die von ACM bezogen wurden.

Die Leaf - oder ACMEntity-Zertifikate, die an Kunden ausgestellt werden, beziehen ihre Autorität von einer Amazon Trust Services-Stammzertifizierungsstelle über eine von mehreren Zwischeninstanzen. CAs ACMweist anhand des Typs des angeforderten Zertifikats (RSAoderECDSA) nach dem Zufallsprinzip eine Zwischenzertifizierungsstelle zu. Da die Zwischenzertifizierungsstelle nach dem Zufallsprinzip ausgewählt wird, ACM stellt sie keine Informationen zur Zwischenzertifizierungsstelle bereit.

Domainvalidierung (DV)

ACM-Zertifikate werden von der Domäne validiert. Das heißt, das Betreff-Feld eines ACM Zertifikats identifiziert einen Domainnamen und nichts weiter. Wenn Sie ein ACM Zertifikat anfordern, müssen Sie bestätigen, dass Sie Eigentümer aller Domänen sind oder die Kontrolle über alle Domänen haben, die Sie in Ihrer Anfrage angeben. Sie können die Inhaberschaft per E-Mail oder per E-Mail bestätigenDNS. Weitere Informationen erhalten Sie unter AWS Certificate Manager E-Mail-Validierung und AWS Certificate Manager DNSValidierung.

Zwischen- und Stamm-CA-Rotation

Um eine robuste und flexible Zertifikatsinfrastruktur aufrechtzuerhalten, kann Amazon jederzeit ohne Vorankündigung eine zwischengeschaltete Zertifizierungsstelle einstellen. Änderungen dieser Art haben keine Auswirkungen auf die Kunden. Weitere Informationen finden Sie im Blog-Beitrag Amazon introduces dynamic intermediate certificate authorities (Amazon führt dynamische Zwischenzertifizierungsstellen ein).

In dem unwahrscheinlichen Fall, dass Amazon eine Stammzertifizierungsstelle einstellt, erfolgt die Änderung so schnell, wie es die Umstände erfordern. Aufgrund der großen Auswirkungen einer solchen Änderung wird Amazon alle verfügbaren Mechanismen nutzen, um zu benachrichtigen AWS Kunden, einschließlich AWS Health Dashboard, E-Mail an Kontoinhaber und Kontaktaufnahme mit technischen Kundenbetreuern.

Firewall-Zugriff für Widerruf

Wenn ein Endentitätszertifikat nicht mehr vertrauenswürdig ist, wird es gesperrt. OCSPund CRLs sind die Standardmechanismen, mit denen überprüft wird, ob ein Zertifikat gesperrt wurde oder nicht. OCSPund CRLs sind die Standardmechanismen, die zur Veröffentlichung von Sperrinformationen verwendet werden. Einige Kunden-Firewalls benötigen möglicherweise zusätzliche Regeln, damit diese Mechanismen funktionieren können.

Das folgende Beispiel mit URL Platzhaltermustern kann verwendet werden, um den Sperrverkehr zu identifizieren. Ein Sternchen-Platzhalter (*) steht für ein Zeichen oder eine beliebige Kombination von mehreren alphanumerischen Zeichen, ein Fragezeichen (?) steht für ein einzelnes alphanumerisches Zeichen, und ein Rautenzeichen (#) steht für eine Zahl.

  • OCSP

    http://ocsp.?????.amazontrust.com

    http://ocsp.*.amazontrust.com

  • CRL

    http://crl.?????.amazontrust.com/?????.crl

    http://crl.*.amazontrust.com/*.crl

Wichtige Algorithmen

Ein Zertifikat muss einen Algorithmus und eine Schlüsselgröße angeben. Derzeit werden die folgenden Public-Key-Algorithmen RSA und der Elliptic Curve Digital Signature Algorithm (ECDSA) von ACM unterstützt. ACMkann mithilfe von Algorithmen, die mit einem Sternchen (*) gekennzeichnet sind, die Ausstellung neuer Zertifikate beantragen. Die übrigen Algorithmen werden nur für importierte Zertifikate unterstützt.

Anmerkung

Wenn Sie ein privates PKI Zertifikat anfordern, das von einer Zertifizierungsstelle signiert wurde AWS Private CA, muss die angegebene Signaturalgorithmusfamilie (RSAoderECDSA) mit der Algorithmusfamilie des geheimen Schlüssels der Zertifizierungsstelle übereinstimmen.

  • RSA1024 Bit (RSA_1024)

  • RSA2048 Bit (*RSA_2048)

  • RSA3072 Bit () RSA_3072

  • RSA4096 Bit () RSA_4096

  • ECDSA256 Bit (*EC_prime256v1)

  • ECDSA384 Bit (*EC_secp384r1)

  • ECDSA521 Bit () EC_secp521r1

ECDSASchlüssel sind kleiner und bieten eine Sicherheit, die mit RSA Schlüsseln vergleichbar ist, bieten jedoch eine höhere Recheneffizienz. ECDSAWird jedoch nicht von allen Netzwerkclients unterstützt. Die folgende Tabelle, adaptiert von NIST, zeigt die repräsentative Sicherheitsstärke von RSA und ECDSA mit Schlüsseln unterschiedlicher Größe. Alle Werte sind in Bits angegeben.

Vergleich der Sicherheit von Algorithmen und Schlüsseln

Stärke der Sicherheit

RSASchlüsselgröße

ECDSASchlüsselgröße

128

 3072 256

192

 7680 384

256

 15360 521

Die Sicherheitsstärke, verstanden als Potenz von 2, bezieht sich auf die Anzahl der Rateversuche, die erforderlich sind, um die Verschlüsselung zu knacken. Beispielsweise können sowohl ein RSA 3072-Bit-Schlüssel als auch ein ECDSA 256-Bit-Schlüssel abgerufen werden, ohne dass mehr als 2 128 Versuche erforderlich sind.

Informationen, die Ihnen bei der Auswahl eines Algorithmus helfen, finden Sie in der AWS Blogbeitrag Wie bewertet und verwendet man ECDSA Zertifikate in AWS Certificate Manager.

Wichtig

Beachten Sie, dass integrierte Services nur die von ihnen unterstützten Algorithmen und Schlüsselgrößen für die Zuordnung zu ihren Ressourcen zulassen. Darüber hinaus unterscheidet sich ihre Unterstützung je nachdem, ob das Zertifikat in IAM oder in importiert wirdACM. Weitere Informationen finden Sie in der Dokumentation zu dem jeweiligen Service.

Verwaltete Erneuerung und Bereitstellung

ACMverwaltet den Prozess der Erneuerung von ACM Zertifikaten und der Bereitstellung der Zertifikate nach deren Verlängerung. Eine automatische Erneuerung kann Ihnen dabei helfen, Ausfallzeiten aufgrund von falsch konfigurierten, widerrufenen oder abgelaufenen Zertifikaten zu verhindern. Weitere Informationen finden Sie unter Verwaltete Zertifikatserneuerung in AWS Certificate Manager.

Mehrere Domainnamen

Jedes ACM Zertifikat muss mindestens einen vollqualifizierten Domainnamen (FQDN) enthalten, und Sie können bei Bedarf weitere Namen hinzufügen. Wenn Sie beispielsweise ein ACM Zertifikat für erstellenwww.example.com, können Sie auch den Namen hinzufügen, www.example.net falls Kunden Ihre Website über einen der beiden Namen erreichen können. Dies gilt auch für "Bare"-Domains (auch bekannt als "Zone Apex"- oder "Naked"-Domains). Das heißt, Sie können ein ACM Zertifikat für www.example.com anfordern und den Namen example.com hinzufügen. Weitere Informationen finden Sie unter AWS Certificate Manager öffentliche Zertifikate.

Punycode

Die folgenden Punycode-Anforderungen in Bezug auf internationalisierte Domainnnamen müssen erfüllt sein:

  1. Domainnamen, die mit dem Muster „<character><character>--“ beginnen, müssen mit „xn--“ übereinstimmen.

  2. Domainnamen, die mit „xn--“ beginnen, müssen ebenfalls gültige internationalisierte Domainnamen sein.

Beispiele für Punycode

Domainname

Erfüllt #1

Erfüllt #2

Zulässig

Hinweis

example.com

Beginnt nicht mit „<character><character>--“

a--example.com

Beginnt nicht mit „<character><character>--“

abc--example.com

Beginnt nicht mit „<character><character>--“

xn--xyz.com

Ja

Ja

Gültiger internationalisierter Domainname (wird zu 简.com aufgelöst)

xn--example.com

Ja

Nein

Kein gültiger internationalisierter Domainname

ab--example.com

Nein

Nein

Muss mit „xn--“ beginnen
Gültigkeitszeitraum

Die Gültigkeitsdauer für ACM Zertifikate beträgt 13 Monate (395 Tage).

Platzhalternamen

ACMermöglicht es Ihnen, ein Sternchen (*) im Domainnamen zu verwenden, um ein ACM Zertifikat zu erstellen, das einen Platzhalternamen enthält, der mehrere Websites in derselben Domain schützen kann. Zum Beispiel schützt *.example.com www.example.com und images.example.com.

Anmerkung

Wenn Sie ein Platzhalter-Zertifikat anfordern, muss sich das Sternchen (*) ganz links im Domainnamen befinden und es kann nur eine Subdomainn-Ebene geschützt werden. Zum Beispiel kann *.example.com login.example.com und test.example.com schützen, jedoch nicht test.login.example.com. Beachten Sie außerdem, dass *.example.com nur die Subdomains von example.com schützt, jedoch nicht die "Bare-" oder "Apex"-Domain (example.com). Sie können jedoch ein Zertifikat anfordern, das eine "Bare"- oder "Apex"-Domain und deren Subdomains schützt, indem Sie mehrere Domainnamen in Ihrer Anforderung angeben. Beispielsweise können Sie ein Zertifikat anfordern, das example.com und *.example.com schützt.

Einschränkungen

Die folgenden Einschränkungen gelten für öffentliche Zertifikate.

  • ACMstellt keine EV-Zertifikate (Extended Validation) oder OV-Zertifikate (Organization Validation) zur Verfügung.

  • ACMstellt keine Zertifikate für etwas anderes als die SSL TLS /-Protokolle zur Verfügung.

  • Sie können keine ACM Zertifikate für die E-Mail-Verschlüsselung verwenden.

  • ACMermöglicht es Ihnen derzeit nicht, die verwaltete Zertifikatserneuerung für ACM Zertifikate zu deaktivieren. Außerdem ist die verwaltete Verlängerung für Zertifikate, in die Sie importieren, nicht verfügbarACM.

  • Sie können keine Zertifikate für Amazon-eigene Domainnamen, wie solche, die mit amazonaws.com, cloudfront.net oder elasticbeanstalk.com enden, anfordern.

  • Sie können den privaten Schlüssel für ein ACM Zertifikat nicht herunterladen.

  • Sie können ACM Zertifikate nicht direkt auf Ihrer Amazon Elastic Compute Cloud (AmazonEC2) -Website oder -Anwendung installieren. Sie können jedoch Ihr Zertifikat mit einem integrierten Service verwenden. Weitere Informationen finden Sie unter In ACM integrierte Services.

  • Öffentlich vertrauenswürdige ACM Zertifikate werden automatisch in mindestens zwei Zertifikatstransparenzdatenbanken aufgezeichnet, es sei denn, Sie entscheiden sich dafür, sich abzumelden. Sie können die Konsole derzeit nicht zum Abmelden verwenden. Sie müssen das verwenden AWS CLI oder das ACMAPI. Weitere Informationen finden Sie unter Abmelden von der Protokollierung für Zertifikatstransparenz. Allgemeine Informationen zu Transparenzprotokollen finden Sie unter Protokollierung der Zertifikatstransparenz.