Fordern Sie ein privates Zertifikat an in AWS Certificate Manager - AWS Certificate Manager
Fordern Sie ein privates Zertifikat an (Konsole)Fordern Sie ein privates Zertifikat an (CLI)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fordern Sie ein privates Zertifikat an in AWS Certificate Manager

Fordern Sie ein privates Zertifikat an (Konsole)

  1. Loggen Sie sich ein in AWS Management Console und öffnen Sie die ACM Konsole zu https://console.aws.amazon.com/acm/Hause.

    Wählen Sie Request a certificate aus.

  2. Wählen Sie auf der Seite Request certificate (Zertifikat anfordern) die Option Request a private certificate (Privates Zertifikat anfordern) und dann Next (Weiter) aus, um fortzufahren.

  3. Klicken Sie im Abschnitt Details zur Zertifizierungsstelle auf das Menü Zertifizierungsstelle und wählen Sie eine der verfügbaren privaten Zertifizierungsstellen ausCAs. Wenn die Zertifizierungsstelle von einem anderen Konto aus gemeinsam genutzt ARN wird, werden ihr Eigentumsinformationen vorangestellt.

    Es werden Informationen über die CA angezeigt, damit Sie überprüfen können, ob Sie die richtige ausgewählt haben.

    • Eigentümer

    • Typ

    • Allgemeiner Name (CN)

    • Organisation (O)

    • Organisationseinheit (OU)

    • Ländername (C)

    • Bundesstaat oder Provinz

    • Ortsname

  4. Geben Sie auf der Seite Domain names (Domainnamen) Ihren Domainnamen ein. Sie können einen vollqualifizierten Domänennamen (FQDN), z. B.www.example.com, oder einen bloßen Domainnamen oder einen Apex-Domänennamen wie verwenden. example.com Sie können auch ein Sternchen (*) als Platzhalter in der Position ganz links verwenden, um mehrere Websitenamen in derselben Domain zu schützen. Zum Beispiel schützt *.example.com corp.example.com und images.example.com. Der Platzhaltername wird im Feld Betreff und in der Erweiterung „Alternativer Betreffname“ des Zertifikats angezeigt. ACM

    Anmerkung

    Wenn Sie ein Platzhalterzertifikat anfordern, muss sich das Sternchen (*) ganz links im Domainnamen befinden und es kann nur eine Subdomainebene geschützt werden. Zum Beispiel kann *.example.com login.example.com und test.example.com schützen, jedoch nicht test.login.example.com. Beachten Sie außerdem, dass *.example.com nur die Subdomains von example.com schützt, jedoch nicht die "Bare-" oder "Apex"-Domain (example.com). Um beide zu schützen, sehen Sie sich den nächsten Schritt an.

    Optional wählen Sie Add another name to this certificate (Diesem Zertifikat einen anderen Namen hinzufügen) aus und geben Sie den Namen in das Textfeld ein. Dies ist nützlich für den Schutz einer "Bare"- oder "Apex"-Domain (wie example.com) und ihrer Subdomains (wie *.example.com).

  5. Wählen Sie im Abschnitt Schlüsselalgorithmus einen Algorithmus aus.

    Informationen, die Ihnen bei der Auswahl eines Algorithmus helfen, finden Sie unter Markierung AWS Certificate Manager Ressourcen.

  6. Im Abschnitt Tags können Sie Ihr Zertifikat optional mit Tags versehen. Tags sind Schlüssel-Wert-Paare, die als Metadaten zur Identifizierung und Organisation dienen AWS Ressourcen schätzen. Eine Liste der ACM Tag-Parameter und Anweisungen zum Hinzufügen von Tags zu Zertifikaten nach der Erstellung finden Sie unter. Markierung AWS Certificate Manager Ressourcen

  7. Bestätigen Sie im Abschnitt Certificate renewal permissions (Berechtigungen für die Zertifikaterneuerung) den Hinweis auf die Berechtigungen für die Zertifikaterneuerung. Diese Berechtigungen ermöglichen die automatische Verlängerung von privaten PKI Zertifikaten, die Sie mit der ausgewählten Zertifizierungsstelle signieren. Weitere Informationen finden Sie unter Verwenden einer dienstverknüpften Rolle mit ACM.

  8. Nachdem Sie alle erforderlichen Informationen angegeben haben, wählen SieRequest (Anfordern) aus. Die Konsole führt Sie zur Zertifikatliste zurück, in der Sie Ihr neues Zertifikat anzeigen können.

    Anmerkung

    Je nachdem, wie Sie die Liste geordnet haben, kann es sein, dass ein gesuchtes Zertifikat nicht sofort sichtbar ist. Klicken Sie rechts auf das schwarze Dreieck, um die Reihenfolge zu ändern. Sie können auch mithilfe der Seitenzahlen oben rechts durch mehrere Seiten von Zertifikaten navigieren.

Fordern Sie ein privates Zertifikat an (CLI)

Verwenden Sie den Befehl request-certificate, um ein privates Zertifikat in anzufordern. ACM

Anmerkung

Wenn Sie ein privates PKI Zertifikat anfordern, das von einer Zertifizierungsstelle signiert wurde von AWS Private CA, muss die angegebene Signaturalgorithmusfamilie (RSAoderECDSA) mit der Algorithmusfamilie des geheimen Schlüssels der Zertifizierungsstelle übereinstimmen.

aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID

Dieser Befehl gibt den Amazon-Ressourcennamen (ARN) Ihres neuen privaten Zertifikats aus.

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}

In den meisten Fällen ACM wird Ihrem Konto automatisch eine serviceverknüpfte Rolle (SLR) zugewiesen, wenn Sie zum ersten Mal eine gemeinsame Zertifizierungsstelle verwenden. Das SLR ermöglicht die automatische Verlängerung der von Ihnen ausgestellten Endzertifikate. Um zu überprüfen, ob das vorhanden SLR ist, können Sie IAM mit dem folgenden Befehl eine Abfrage durchführen:

aws iam get-role --role-name AWSServiceRoleForCertificateManager

Wenn der vorhanden SLR ist, sollte die Befehlsausgabe wie folgt aussehen:

{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}

Falls das SLR fehlt, finden Sie weitere Informationen unter Verwenden einer dienstverknüpften Rolle mit ACM.