Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Probleme beheben mit AWS Certificate Manager
Wenn Sie Probleme mit der Verwendung von AWS Certificate Manager haben, lesen Sie in den folgenden Themen nach.
**Anmerkung**
Wenn Sie Ihr Problem in diesem Abschnitt nicht finden, empfehlen wir das [AWS Wissenszentrum](https://aws.amazon.com/premiumsupport/knowledge-center/).
**Topics**
+ [Beheben Sie Probleme mit Zertifikatsanfragen](troubleshooting-cert-requests.md)
+ [Fehlerbehebung bei der Zertifikatsvalidierung](certificate-validation.md)
+ [Problembehandlung bei der verwalteten Zertifikatsverlän](troubleshooting-renewal.md)
+ [Beheben Sie andere Probleme](misc-problems.md)
+ [Umgang mit Ausnahmen](exceptions.md)
# Beheben Sie Probleme mit Zertifikatsanfragen
Lesen Sie die folgenden Themen, wenn Sie bei der Anforderung eines ACM-Zertifikats auf Probleme stoßen.
**Topics**
+ [Zeitüberschreitung bei der Zertifikatsanforderung](#troubleshooting-timed-out)
+ [Zertifikatsanforderung fehlgeschlagen](#troubleshooting-failed)
## Zeitüberschreitung bei der Zertifikatsanforderung
Anforderungen für ACM-Zertifikate laufen aus, wenn sie nicht innerhalb von 72 Stunden validiert werden. Um diese Bedingung zu korrigieren, öffnen Sie die Konsole, suchen Sie den Datensatz für das Zertifikat, klicken Sie auf das Kontrollkästchen, wählen Sie**Aktionen**, und wählen Sie**Löschen**aus. Wählen Sie dann**Aktionen**und**Zertifikat anfordern**, um erneut zu beginnen. Für weitere Informationen siehe [AWS Certificate Manager DNS-ValidierungDNS-Validierung](dns-validation.md) oder [AWS Certificate Manager E-Mail-Validierung](email-validation.md). Wir empfehlen Ihnen, die DNS-Validierung nach Möglichkeit zu verwenden.
## Zertifikatsanforderung fehlgeschlagen
Wenn Ihre Anfrage bei ACM fehlschlägt und Sie eine der folgenden Fehlermeldungen erhalten, befolgen Sie die vorgeschlagenen Schritte, um das Problem zu beheben. Sie können eine fehlgeschlagene Zertifikatsanforderung nicht erneut übermitteln. Senden Sie nach Behebung des Problems eine neue Anforderung.
**Topics**
+ [Fehlermeldung: Keine verfügbaren Kontakte](#failed-no-available-contacts)
+ [Fehlermeldung: Zusätzliche Überprüfung erforderlich](#failed-additional-verification-required)
+ [Fehlermeldung: Ungültige öffentliche Domain](#failed-invalid-domain)
+ [Fehlermeldung: Andere](#failed-other)
### Fehlermeldung: Keine verfügbaren Kontakte
Sie haben bei der Beantragung eines Zertifikats die E-Mail-Validierung gewählt, aber ACM konnte keine E-Mail-Adresse finden, die für die Validierung eines oder mehrerer Domainnamen in der Anforderung verwendet werden kann. Um dieses Problem zu beheben, können Sie einen der folgenden Schritte ausführen:
+ Stellen Sie sicher, dass Ihre Domain so konfiguriert ist, dass sie E-Mails empfangen kann. Der Namensserver Ihrer Domain muss einen Mail Exchanger(MX)-Datensatz haben, sodass die E-Mail-Server von ACM wissen, wohin sie die [Domain-Validierungs-E-Mail](email-validation.md) senden sollen.
Es reicht aus,nur eine der vorstehenden Aufgaben auszuführen, um dieses Problem zu beheben. Sie müssen nicht beide durchführen. Nachdem Sie das Problem behoben haben, fordern Sie ein neues Zertifikat an.
Weitere Informationen dazu, wie Sie sicherstellen, dass Sie Domain-Validierungs-E-Mails von ACM erhalten, finden Sie unter [AWS Certificate Manager E-Mail-Validierung](email-validation.md) oder [Kein Empfang der Validierungs-E-Mail](troubleshooting-email-validation.md#troubleshooting-no-mail). Wenn Sie diese Schritte befolgen und weiterhin die Nachricht **Keine verfügbaren Kontakte** erhalten, [melden Sie dies AWS](https://console.aws.amazon.com/support/home), damit wir Nachforschungen anstellen können.
### Fehlermeldung: Zusätzliche Überprüfung erforderlich
ACM erfordert zusätzliche Informationen zur Verarbeitung dieser Zertifikatsanforderung. Dies geschieht als Betrugsschutzmaßnahme, z. B. wenn Ihre Domain unter den [Top 1 000 Websites von Alexa](https://aws.amazon.com/marketplace/pp/Amazon-Web-Services-Alexa-Top-Sites/B07QK2XWNV) rangiert. Um diese Informationen bereitzustellen, kontaktieren Sie [ über das ](https://console.aws.amazon.com/support/home)Support-Center Support. Wenn Sie über keinen Supportplan verfügen, veröffentlichen Sie einen neuen Thread im [ACM-Diskussionsforum](https://forums.aws.amazon.com/forum.jspa?forumID=206).
**Anmerkung**
Sie können kein Zertifikat für Amazon-eigene Domainnamen, wie solche, die mit amazonaws.com, cloudfront.net oder elasticbeanstalk.com enden, anfordern.
### Fehlermeldung: Ungültige öffentliche Domain
Ein oder mehrere Domainnamen in der Zertifikatsanforderung sind ungültig. Dies liegt in der Regel daran, dass ein Domainname in der Anforderung keine gültige Domain der obersten Ebene ist. Versuchen Sie erneut, ein Zertifikat anzufordern, korrigieren Sie sämtliche Rechtschreib- oder Tippfehler in der fehlgeschlagenen Anforderung und prüfen Sie, ob alle Domainnamen in der Anforderung für Domains der obersten Ebene gültig sind. Sie können beispielsweise kein ACM-Zertifikat anfordern, `example.invalidpublicdomain` weil "**invalidpublicdomain" keine gültige Top-Level-Domain** ist. Wenn Sie diesen Fehlergrund weiterhin erhalten, kontaktieren Sie das [Support-Center](https://console.aws.amazon.com/support/home). Wenn Sie über keinen Supportplan verfügen, veröffentlichen Sie einen neuen Thread im [ACM-Diskussionsforum](https://forums.aws.amazon.com/forum.jspa?forumID=206).
### Fehlermeldung: Andere
Dieser Fehler tritt in der Regel auf, wenn ein Tippfehler in einem oder mehreren Domainnamen in der Zertifikatsanforderung zu finden ist. Versuchen Sie erneut, ein Zertifikat anzufordern, und korrigieren Sie sämtliche Rechtschreib- oder Tippfehler in der fehlgeschlagenen Anforderung. Wenn Sie diesen Fehlergrund weiterhin erhalten, kontaktieren Sie [ über das ](https://console.aws.amazon.com/support/home)Support-Center Support. Wenn Sie über keinen Supportplan verfügen, veröffentlichen Sie einen neuen Thread im [ACM-Diskussionsforum](https://forums.aws.amazon.com/forum.jspa?forumID=206).
# Fehlerbehebung bei der Zertifikatsvalidierung
Wenn der ACM-Zertifikatanforderungsstatus **Pending validation** ist, wartet die Anforderung auf eine Eingabe von Ihnen. Wenn Sie bei der Anforderung die E-Mail-Validierung ausgewählt haben, müssen Sie oder ein autorisierter Stellvertreter auf die E-Mail-Nachrichten bei der Validierung reagieren. Diese Nachrichten wurden an die gängigen E-Mail-Adressen für die angeforderte Domain gesendet. Weitere Informationen finden Sie unter [AWS Certificate Manager E-Mail-Validierung](email-validation.md). Wenn Sie die DNS-Validierung ausgewählt haben, müssen Sie den CNAME-Datensatz, den ACM für Sie erstellt hat, in Ihr DNS-Datenbank schreiben. Weitere Informationen finden Sie unter [AWS Certificate Manager DNS-ValidierungDNS-Validierung](dns-validation.md).
**Wichtig**
Sie müssen prüfen, ob Sie jeden der Domainnamen, den Sie in Ihre Zertifikatanforderung aufgenommen haben, besitzen oder kontrollieren. Wenn Sie die E-Mail-Validierung wählen, erhalten Sie E-Mail-Nachrichten für die Validierung jeder Domain. Ist dies nicht der Fall, lesen Sie nach unter [Kein Empfang der Validierungs-E-Mail](troubleshooting-email-validation.md#troubleshooting-no-mail). Wenn Sie die DNS-Validierung gewählt haben, müssen Sie einen CNAME-Datensatz für jede Domain erstellen.
**Anmerkung**
Öffentliche ACM-Zertifikate können auf Amazon EC2 EC2-Instances installiert werden, die mit einer [Nitro](acm-services.md#acm-nitro-enclave) Enclave verbunden sind. Sie können auch [ein öffentliches Zertifikat exportieren](export-public-certificate.md), um es auf einer beliebigen Amazon EC2 EC2-Instance zu verwenden. Informationen zum Einrichten eines eigenständigen Webservers auf einer Amazon EC2 Instance, die nicht mit einer Nitro-Enclave verbunden ist, finden Sie unter[Tutorial: Installieren eines LAMP-Webservers auf Amazon Linux 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html)oder[Tutorial: Installieren eines LAMP-Webservers mit Amazon Linux AMI AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html)aus.
Wir empfehlen, die DNS-Validierung zu verwenden, nicht die E-Mail-Validierung.
Konsultieren Sie die folgenden Themen, falls Sie Probleme mit der Validierung haben.
**Topics**
+ [Behebung von DNS-Validierungsproblemen](troubleshooting-DNS-validation.md)
+ [Beheben von E-Mail-Validierungsproblemen](troubleshooting-email-validation.md)
+ [Behebung von Problemen bei der HTTP-Validierung](troubleshooting-HTTP-validation.md)
# Behebung von DNS-Validierungsproblemen
Lesen Sie bei Schwierigkeiten mit der Überprüfung eines Zertifikats mit DNS die folgenden Hinweise.
Der erste Schritt bei der DNS-Problembehandlung besteht darin, den aktuellen Status Ihrer Domain mit Tools wie den folgenden zu überprüfen:
+ **dig** –- [Linux](https://linux.die.net/man/1/dig), [Windows](https://help.dyn.com/how-to-use-binds-dig-tool/)
+ **nslookup** –- [Linux](https://linux.die.net/man/1/nslookup), [Windows](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/nslookup)
**Topics**
+ [Unterstriche von DNS-Provider nicht zugelassen](#underscores-prohibited)
+ [Vom DNS-Provider hinzugefügte Standardzeitraum](#troubleshooting-trailing-period)
+ [Die DNS-Validierung bei GoDaddy schlägt fehl](#troubleshooting-DNS-GoDaddy)
+ [Die ACM-Konsole zeigt die Schaltfläche „Datensätze in Route 53 erstellen“ nicht an](#troubleshooting-route53-1)
+ [Route-53-Validierung schlägt in privaten (nicht vertrauenswürdigen) Domains fehl](#troubleshooting-route53-2)
+ [Die Validierung ist erfolgreich, aber die Ausstellung oder Verlängerung schlägt fehl](#troubleshooting-dns-pending-violation)
+ [Validierung schlägt fehl für DNS-Server auf einem VPN](#troubleshooting-vpn)
## Unterstriche von DNS-Provider nicht zugelassen
Wenn Ihr DNS-Anbieter führende Unterstriche in CNAME-Werten verbietet, können Sie den Unterstrich aus dem von ACM bereitgestellten Wert entfernen und Ihre Domain ohne ihn validieren. Beispiel: Der CNAME-Wert `_x2.acm-validations.aws` kann für die Validierung zu `x2.acm-validations.aws` geändert werden. Der CNAME-Namensparameter muss jedoch immer mit einem einleitenden Unterstrich beginnen.
Sie können einen der Werte auf der rechten Seite der Tabelle unten verwenden, um eine Domain zu validieren.
| Name | Typ | Wert |
| --- | --- | --- |
| `_.example.com.` | CNAME | `_.acm-validations.aws.` |
| `_.example.com.` | CNAME | `.acm-validations.aws.` |
## Vom DNS-Provider hinzugefügte Standardzeitraum
Einige DNS-Anbieter fügen dem von Ihnen angegebenen CNAME-Wert standardmäßig einen nachgestellten Zeitraum hinzu. Infolgedessen verursacht das Hinzufügen des Zeitraums selbst einen Fehler. Zum Beispiel“`.acm-validations.aws.`„wird abgelehnt, während“`.acm-validations.aws`„akzeptiert wird.
## Die DNS-Validierung bei GoDaddy schlägt fehl
Die DNS-Validierung für Domains, die bei Godaddy und anderen Registrierungsstellen registriert sind, kann fehlschlagen, wenn Sie die von ACM bereitgestellten CNAME-Werte nicht ändern. Wenn example.com der Domainname ist, dann hat der ausgestellte CNAME-Eintrag das folgende Format:
```
NAME: _ho9hv39800vb3examplew3vnewoib3u.example.com. VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
```
Sie können einen CNAME-Eintrag erstellen, der kompatibel mit ist, GoDaddy indem Sie die Apex-Domäne (einschließlich des Punkts) am Ende des NAME-Felds wie folgt kürzen:
```
NAME: _ho9hv39800vb3examplew3vnewoib3u VALUE: _cjhwou20vhu2exampleuw20vuyb2ovb9.j9s73ucn9vy.acm-validations.aws.
```
## Die ACM-Konsole zeigt die Schaltfläche „Datensätze in Route 53 erstellen“ nicht an
Wenn Sie Amazon Route 53 als Ihren DNS-Anbieter auswählen, AWS Certificate Manager können Sie direkt mit ihm interagieren, um Ihre Domain-Inhaberschaft zu überprüfen. Unter bestimmten Umständen ist die Schaltfläche **Datensätze in Route 53 erstellen** möglicherweise nicht verfügbar, wenn Sie es erwarten. Wenn dies der Fall ist, prüfen Sie auf folgende mögliche Ursachen.
+ Sie verwenden Route 53 nicht als DNS-Anbieter.
+ Sie sind bei ACM und Route 53 über verschiedene Konten angemeldet.
+ Ihnen fehlen IAM-Berechtigungen, um Datensätze in einer von Route 53 gehosteten Zone zu erstellen.
+ Sie oder eine andere Person haben die Domain bereits validiert.
+ Die Domain ist nicht öffentlich adressierbar.
## Route-53-Validierung schlägt in privaten (nicht vertrauenswürdigen) Domains fehl
Bei der DNS-Validierung sucht ACM nach einem CNAME in einer öffentlich gehosteten Zone. Wenn es keinen findet, wird eine Zeitüberschreitung nach 72 Stunden mit dem Status **Validation timed out (Validierung abgelaufen)** angezeigt. Sie können es nicht zum Hosten von DNS-Datensätzen für private Domains verwenden, einschließlich Ressourcen in einer [privat gehosteten Zone](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) von Amazon VPC, nicht vertrauenswürdige Domains in Ihrer privaten PKI und selbstsignierte Zertifikate.
AWS bietet über den [AWS Private CA](https://aws.amazon.com/certificate-manager/private-certificate-authority/)Service Unterstützung für öffentlich nicht vertrauenswürdige Domains.
## Die Validierung ist erfolgreich, aber die Ausstellung oder Verlängerung schlägt fehl
Wenn die Ausstellung eines Zertifikats mit „Ausstehende Validierung“ fehlschlägt, obwohl der DNS korrekt ist, überprüfen Sie, ob die Ausstellung nicht durch einen Certification Authority Authorization (CAA) Eintrag blockiert wird. Weitere Informationen finden Sie unter [(Optional) CAA-Datensatz konfigurieren](setup.md#setup-caa).
## Validierung schlägt fehl für DNS-Server auf einem VPN
Wenn Sie einen DNS-Server auf einem VPN finden und ACM ein Zertifikat nicht validiert, überprüfen Sie, ob der Server öffentlich zugänglich ist. Die Ausstellung öffentlicher Zertifikate mithilfe der ACM-DNS-Validierung erfordert, dass die Domäneneinträge über das öffentliche Internet aufgelöst werden können.
# Beheben von E-Mail-Validierungsproblemen
Lesen Sie bei Schwierigkeiten mit der Überprüfung einer Zertifikats-Domain per E-Mail die folgenden Hinweise.
**Topics**
+ [Kein Empfang der Validierungs-E-Mail](#troubleshooting-no-mail)
+ [Persistenter anfänglicher Zeitstempel für die E-Mail-](#initial-dates)
+ [Ich kann nicht zur DNS-Validierung wechseln](#troubleshoot-switch-to-dns)
## Kein Empfang der Validierungs-E-Mail
Wenn Sie ein Zertifikat von ACM anfordern und sich für die E-Mail-Validierung entscheiden, wird eine E-Mail zur Domainvalidierung an die fünf gängigen Administratoradressen gesendet. Weitere Informationen finden Sie unter [AWS Certificate Manager E-Mail-Validierung](email-validation.md). Wenn Sie Probleme mit dem Empfang von Validierungs-E-Mails haben, sehen Sie sich folgende Vorschläge an.
**Wo suchen ich nach der E-Mail?**
ACM sendet Bestätigungs-E-Mail-Nachrichten an den von Ihnen angeforderten Domainnamen. Sie können auch eine Superdomain als Validierungsdomain angeben, wenn Sie diese E-Mails stattdessen unter dieser Domain erhalten möchten. Jede Subdomain bis zur minimalen Website-Adresse ist gültig und wird als Domain für die E-Mail-Adresse als Suffix nach @ verwendet. Sie können beispielsweise eine E-Mail an admin@example.com erhalten, wenn Sie example.com als Validierungsdomain für subdomain.example.com angeben. Überprüfen Sie die Liste der E-Mail-Adressen, die in der ACM-Konsole angezeigt (oder von der CLI oder API zurückgegeben) werden, um festzustellen, wo Sie nach einer Validierungs-E-Mail suchen sollten. Zum Anzeigen der Liste klicken Sie auf das Symbol neben dem Domainnamen im Textfeld mit der Bezeichnung **Validation not complete**.
**Die E-Mail wird als Spam markiert**
Überprüfen Sie, ob sich die Validierungs-E-Mail in Ihrem Spam-Ordner befindet.
**GMail sortiert Ihre E-Mail automatisch**
Wenn Sie verwenden GMail, wurde die Bestätigungs-E-Mail möglicherweise automatisch in die Tabs **Updates** oder **Werbeaktionen** sortiert.
**Wenden Sie sich an das Support-Center**
Wenn Sie nach der Überprüfung der vorausgehenden Leitlinie die Domainvalidierungs-E-Mail immer noch nicht erhalten haben, besuchen Sie bitte [Support Center](https://console.aws.amazon.com/support/home) und erstellen Sie einen Fall. Wenn Sie keine Supportvereinbarung haben, veröffentlichen Sie einen Beitrag im [ACM-Diskussionsforum](https://forums.aws.amazon.com/forum.jspa?forumID=206).
## Persistenter anfänglicher Zeitstempel für die E-Mail-
Der Zeitstempel der ersten E-Mail-Validierungsanforderung eines Zertifikats bleibt über spätere Anforderungen für die Validierungsverlängerung bestehen. Dies ist kein Hinweis auf einen Fehler in ACM-Operationen.
## Ich kann nicht zur DNS-Validierung wechseln
Nachdem Sie ein Zertifikat mit E-Mail-Validierung erstellt haben, können Sie nicht zur Validierung mit DNS wechseln. Um die DNS-Validierung zu verwenden, löschen Sie das Zertifikat und erstellen Sie dann ein neues Zertifikat, das die DNS-Validierung verwendet.
# Behebung von Problemen bei der HTTP-Validierung
Lesen Sie die folgenden Anleitungen, wenn Sie Probleme bei der Validierung eines Zertifikats mit HTTP haben.
Der erste Schritt bei der HTTP-Fehlerbehebung besteht darin, den aktuellen Status Ihrer Domain mit Tools wie den folgenden zu überprüfen:
+ **curl** — [Linux und Windows](https://curl.se/docs/manpage.html)
+ **wget** — [Linux](https://www.gnu.org/software/wget/manual/wget.html) und Windows
**Topics**
+ [Inhalte stimmen nicht mit den Speicherorten überein RedirectFrom RedirectTo](#http-validation-content-mismatch)
+ [Falsche CloudFront Konfiguration](#http-validation-cloudfront-configuration)
+ [Probleme mit der HTTP-Umleitung](http-validation-redirect-issues.md)
+ [Timeout bei der Validierung](http-validation-timeout.md)
## Inhalte stimmen nicht mit den Speicherorten überein RedirectFrom RedirectTo
Wenn der Inhalt am `RedirectFrom` Standort nicht mit dem Inhalt am `RedirectTo` Standort übereinstimmt, schlägt die Überprüfung fehl. Stellen Sie sicher, dass der Inhalt für jede Domain im Zertifikat identisch ist.
## Falsche CloudFront Konfiguration
Stellen Sie sicher, dass Ihre CloudFront Distribution korrekt konfiguriert ist, um den Validierungsinhalt bereitzustellen. Vergewissern Sie sich, dass die Einstellungen für Herkunft und Verhalten korrekt sind und ob die Distribution bereitgestellt wurde.
# Probleme mit der HTTP-Umleitung
Wenn Sie eine Weiterleitung verwenden, anstatt den Inhalt direkt bereitzustellen, gehen Sie wie folgt vor, um Ihre Konfiguration zu überprüfen.
**Um die Konfiguration der Weiterleitung zu überprüfen**
1. Kopieren Sie die `RedirectFrom` URL und fügen Sie sie in die Adressleiste Ihres Browsers ein.
1. Fügen Sie die `RedirectTo` URL in einem neuen Browser-Tab ein.
1. Vergleichen Sie den Inhalt beider Seiten URLs , um sicherzustellen, dass sie exakt übereinstimmen.
1. Stellen Sie sicher, dass die Weiterleitung einen 302-Statuscode zurückgibt.
# Timeout bei der Validierung
Bei der HTTP-Validierung kann es zu einer Zeitüberschreitung kommen, wenn der Inhalt nicht innerhalb des erwarteten Zeitrahmens verfügbar ist. Gehen Sie wie folgt vor, um Probleme mit der Validierung zu beheben.
**Um das Validierungs-Timeout zu beheben**
1. Führen Sie einen der folgenden Schritte aus, um zu überprüfen, für welche Domänen die Validierung noch aussteht:
1. Öffnen Sie die ACM-Konsole und sehen Sie sich die Seite mit den Zertifikatsdetails an. Suchen Sie nach Domänen, die als **ausstehende Validierung** gekennzeichnet sind.
1. Rufen Sie den `DescribeCertificate` API-Vorgang auf, um den Validierungsstatus jeder Domain einzusehen.
1. Stellen Sie für jede ausstehende Domain sicher, dass der Validierungsinhalt über das Internet zugänglich ist.
# Problembehandlung bei der verwalteten Zertifikatsverlän
ACM versucht, Ihre ACM-Zertifikate automatisch zu verlängern, bevor sie ablaufen, sodass keine weiteren Maßnahmen erforderlich sind. Wenn Sie Probleme mit [Verwaltete Zertifikatserneuerung in AWS Certificate Manager](managed-renewal.md) haben, sehen Sie sich folgende Themen an.
## Vorbereitung auf die automatische Domainvalidierung
Damit ACM Ihre Zertifikate automatisch verlängern kann, müssen folgende Bedingungen erfüllt sein:
+ Ihr Zertifikat muss mit einem AWS Dienst verknüpft sein, der in ACM integriert ist. Informationen zu den von ACM unterstützten Ressourcen finden Sie unter [In ACM integrierte Dienste](acm-services.md).
+ Für per E-Mail validierte Zertifikate muss ACM Sie unter einer Administrator-E-Mail-Adresse für jede in Ihrem Zertifikat aufgeführte Domain erreichen können. Die E-Mail-Adressen, die ausprobiert werden, sind in [AWS Certificate Manager E-Mail-Validierung](email-validation.md) gelistet.
+ Stellen Sie bei DNS-validierten Zertifikaten sicher, dass Ihre DNS-Konfiguration die korrekten CNAME-Datensätze enthält, wie in [AWS Certificate Manager DNS-ValidierungDNS-Validierung](dns-validation.md) beschrieben.
+ Stellen Sie bei HTTP-validierten Zertifikaten sicher, dass Ihre Weiterleitungen wie unter beschrieben konfiguriert sind. [AWS Certificate Manager HTTP-Validierung](http-validation.md)
## Behandlung von Fehlern bei der Erneuerung verwalteter Zertifikate
[Da das Zertifikat bald abläuft (45 Tage für DNS, 45 Tage für E-MAIL und 60 Tage für Private), versucht ACM, das Zertifikat zu erneuern, sofern es die Zulassungskriterien erfüllt.](managed-renewal.md) Möglicherweise müssen Sie Maßnahmen ergreifen, damit die Verlängerung erfolgreich ist. Weitere Informationen finden Sie unter [Verwaltete Zertifikatserneuerung in AWS Certificate Manager](managed-renewal.md).
## Erneuerung verwalteter Zertifikate für per E-Mail validierte Zertifikate
ACM-Zertifikate sind 198 Tage gültig. Die Verlängerung eines Zertifikats erfordert Maßnahmen des Domaininhabers. ACM beginnt 45 Tage vor Ablauf mit dem Senden von Verlängerungsmitteilungen an die mit der Domain verknüpften E-Mail-Adressen. Die Benachrichtigungen enthalten einen Link, auf den der Domaininhaber zur Verlängerung klicken kann. Nachdem alle aufgelisteten Domains validiert wurden, stellt ACM ein erneuertes Zertifikat mit demselben ARN aus.
Unter [Per E-Mail validieren](email-validation.md) finden Sie Anleitungen dazu, wie Sie die Domains identifizieren, die sich im Status `PENDING_VALIDATION` befinden, und wie Sie den Validierungsprozess für diese Domains wiederholen.
## Erneuerung verwalteter Zertifikate für DNS-validierte Zertifikate
ACM versucht keine TLS-Validierung für DNS-validierte Zertifikate. Wenn ACM ein Zertifikat nicht zertifizieren kann, das Sie mittels DNS validiert haben, liegt dies wahrscheinlich an fehlenden oder nicht korrekten CNAME-Datensätzen in Ihrer DNS-Konfiguration. Wenn dies der Fall ist, werden Sie von ACM benachrichtigt, dass das Zertifikat nicht automatisch erneuert werden konnte.
**Wichtig**
Sie müssen die korrekten CNAME-Datensätze in Ihre DNS-Datenbank einfügen. Befragen Sie Ihren Domain-Registrar, um dies zu tun.
Sie finden die CNAME-Datensätze für Ihre Domains, indem Sie Ihr Zertifikat und dessen Domaineinträge in der ACM-Konsole erweitern. Details hierzu finden Sie in den folgenden Abbildungen. Sie können CNAME-Datensätze auch abrufen, indem Sie den [DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)Vorgang in der ACM-API oder den Befehl [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) in der ACM-CLI CLI. Weitere Informationen finden Sie unter [AWS Certificate Manager DNS-ValidierungDNS-Validierung](dns-validation.md).
![\[Wählen Sie in der Konsole das Zielzertifikat aus.\]](http://docs.aws.amazon.com/de_de/acm/latest/userguide/images/Dns-renewal-1.png)
![\[Erweitern Sie das Zertifikatfenster, um die CNAME-Informationen des Zertifikats zu finden.\]](http://docs.aws.amazon.com/de_de/acm/latest/userguide/images/Dns-renewal-2.png)
Wenn das Problem weiterhin besteht, nehmen Sie Kontakt mit dem [Support Center](https://console.aws.amazon.com/support) auf.
## Verwaltete Zertifikatserneuerung für HTTP-validierte Zertifikate
ACM versucht, HTTP-validierte Zertifikate automatisch zu verlängern. Wenn die Verlängerung fehlschlägt, liegt das wahrscheinlich an Problemen mit den HTTP-Validierungsdatensätzen. In solchen Fällen werden Sie von ACM darüber informiert, dass das Zertifikat nicht automatisch erneuert werden konnte.
**Wichtig**
Sie müssen sicherstellen, dass der Inhalt am `RedirectFrom` Speicherort mit dem Inhalt am `RedirectTo` Speicherort für jede Domain im Zertifikat übereinstimmt.
Sie finden die HTTP-Validierungsinformationen für Ihre Domains, indem Sie Ihr Zertifikat und die zugehörigen Domaineinträge in der ACM-Konsole erweitern. Sie können diese Informationen auch mithilfe des [DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html)Vorgangs in der ACM-API oder des Befehls [describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) in der ACM-CLI abrufen. Weitere Informationen finden Sie unter [AWS Certificate Manager HTTP-Validierung](http-validation.md).
Wenn das Problem weiterhin besteht, nehmen Sie Kontakt mit dem [Support Center](https://console.aws.amazon.com/support) auf.
## Informationen zum Zeitpunkt der Erneuerung
[Verwaltete Zertifikatserneuerung in AWS Certificate Manager](managed-renewal.md) ist ein asynchroner Prozess. Das bedeutet, dass die Schritte nicht unmittelbar hintereinander auftreten. Nachdem alle Domainnamen in einem ACM-Zertifikat validiert wurden, kann es eine Verzögerung geben, bevor ACM das neue Zertifikat abruft. Zwischen dem Zeitpunkt, an dem ACM das erneuerte Zertifikat erhält, und dem Zeitpunkt, an dem dieses Zertifikat für die AWS -Ressourcen, die es verwenden, bereitgestellt wird, kann eine zusätzliche Verzögerung auftreten. Daher kann es mehrere Stunden dauern, bis Änderungen am Zertifikatsstatus in der Konsole angezeigt werden.
# Beheben Sie andere Probleme
Dieser Abschnitt enthält Anleitungen für Probleme, die nicht mit der Ausstellung oder Validierung von ACM-Zertifikaten zusammenhängen.
**Topics**
+ [Beheben von Problemen mit der Certification Authority Authorization (CAA)](troubleshooting-caa.md)
+ [Zertifikatsimport](troubleshoot-import.md)
+ [Zertifikatsimport](troubleshooting-pinning.md)
+ [API Gateway Probleme](troubleshoot-apigateway.md)
+ [Was zu tun ist, wenn ein Arbeitszertifikat unerwartet fehlschlägt](unexpected-failure.md)
+ [Probleme mit der ACM-servicegebundene Rolle (Service-Linked Role, SLR)](slr-problems.md)
# Beheben von Problemen mit der Certification Authority Authorization (CAA)
Sie können mit CAA-DNS-Datensätzen festlegen, dass die Amazon Zertifikatsstelle (CA) ACM-Zertifikate für Ihre Domain oder Unterdomain ausstellen darf. Wenn Sie beim Ausstellen eines Zertifikats die Fehlermeldung erhalten, dass **ein oder mehrere Domainnamen wegen eines Fehlers der Certification Authority Authorization (CAA) nicht validiert werden konnten**, sollten Sie Ihre CAA-DNS-Datensätze überprüfen. Wenn Sie diesen Fehler erhalten, nachdem Ihr ACM-Zertifikatsantrag erfolgreich validiert wurde, müssen Sie Ihre CAA-Datensätze aktualisieren und erneut ein Zertifikat anfordern. Das Feld **value** (Wert) in Ihrem CAA-Datensatz muss einen der folgenden Domainnamen enthalten:
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com
Weitere Informationen zum Erstellen eines CAA-Datensatzes finden Sie unter [(Optional) CAA-Datensatz konfigurieren](setup.md#setup-caa).
**Anmerkung**
Wenn Sie verhindern möchten, dass die CAA-Prüfung aktiviert wird, können Sie darauf verzichten, einen CAA-Datensatz für Ihre Domain zu konfigurieren.
# Zertifikatsimport
Sie können Zertifikate von Dritten in ACM importieren und sie [integrierten Services](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) zuordnen. Wenn Probleme auftreten, lesen Sie in den Themen [Voraussetzungen](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) und [Zertifikatformat](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-format.html) nach. Beachten Sie insbesondere Folgendes:
+ Sie können nur SSL/TLS X.509-Zertifikate der Version 3 importieren.
+ Ihr Zertifikat kann selbstsigniert oder von einer Zertifizierungsstelle (CA, Certificate Authority) signiert sein.
+ Wenn Ihr Zertifikat von einer Zertifizierungsstelle signiert ist, müssen Sie eine Zwischenzertifikatkette einschließen, die einen Pfad zum Root of Authority bereitstellt.
+ Wenn Ihr Zertifikat selbstsigniert ist, müssen Sie den privaten Schlüssel in Klartext einschließen.
+ Jedes Zertifikat in der Kette muss jeweils direkt das vorhergehende Zertifikat zertifizieren.
+ Fügen Sie Ihr Endentitätszertifikat nicht in die Zwischenzertifikatkette ein.
+ Ihr Zertifikat, Ihre Zertifikatkette und der private Schlüssel (falls vorhanden) müssen PEM--kodiert sein. Im Allgemeinen besteht die PEM-Kodierung aus Blöcken mit Base64-kodiertem ASCII-Text, die mit Klartext-Kopf- und Fußzeilen beginnen und enden. Sie dürfen keine Zeilen oder Leerzeichen hinzufügen oder andere Änderungen an einer PEM-Datei vornehmen, während Sie sie kopieren oder hochladen. Sie können Zertifikatketten mit dem[Dienstprogramm OpenSSL überprüfen](https://www.openssl.org/docs/manmaster/man1/openssl-verify.html)aus.
+ Ihr privater Schlüssel (sofern vorhanden) darf nicht verschlüsselt sein. (Tipp: Wenn es eine Passphrase hat, ist sie verschlüsselt.)
+ Services[Integrierte](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)mit ACM muss ACM-unterstützte Algorithmen und Schlüsselgrößen verwenden. Sehen Sie im AWS Certificate Manager Benutzerhandbuch und in der Dokumentation der einzelnen Dienste nach, um sicherzustellen, dass Ihr Zertifikat funktioniert.
+ Die Zertifikatunterstützung durch integrierten Service kann sich abhängig davon unterscheiden, ob das Zertifikat oder in IAM oder in ACM importiert werden.
+ Das Zertifikat muss gültig sein, wenn es importiert wird.
+ Detaillierte Informationen über alle Ihre Zertifikate werden in der Konsole angezeigt. Wenn Sie jedoch die [ListCertificates](https://docs.aws.amazon.com/acm/latest/APIReference/API_ListCertificates.html)API oder den AWS CLI Befehl [list-certificates](https://docs.aws.amazon.com/cli/latest/reference/acm/list-certificates.html) aufrufen, ohne den `keyTypes` Filter anzugeben, werden standardmäßig nur `RSA_1024` `RSA_2048` Zertifikate angezeigt.
# Zertifikatsimport
Zur Erneuerung eines Zertifikats generiert ACM ein neues öffentlich-privates Schlüsselpaar. Wenn Ihre Anwendung ein ACM-Zertifikat mithilfe [Zertifikat-Pinning](acm-bestpractices.md#best-practices-pinning) von SSL-Pinning anheftet, kann die Anwendung nach AWS der Verlängerung des Zertifikats möglicherweise keine Verbindung zu Ihrer Domain herstellen. Aus diesem Grund raten wir davon ab, dass Sie ein ACM-Zertifikat pinnen. Wenn Ihre Anwendung ein Zertifikat pinnen muss, können Sie folgende Schritte ausführen:
+ [Importieren Sie Ihr Zertifikat](import-certificate.md) in ACM und pinnen Sie dann Ihre Anwendung an das importierte Zertifikat. ACM bietet keine verwaltete Erneuerung für importierte Zertifikate.
+ Wenn Sie ein öffentliches Zertifikat verwenden, heften Sie Ihre Anwendung an alle verfügbaren [Amazon-Stammzertifikate](https://www.amazontrust.com/repository/) an. Wenn Sie ein privates Zertifikat verwenden, heften Sie Ihre Anwendung an das Stammzertifikat der Zertifizierungsstelle an.
# API Gateway Probleme
Wenn Sie einen *Edge-optimierten* API-Endpunkt bereitstellen, richtet API Gateway eine CloudFront Verteilung für Sie ein. Die CloudFront Distribution gehört API Gateway, nicht Ihrem Konto. Die Verteilung ist an das ACM-Zertifikat gebunden, das Sie zur Bereitstellung Ihrer API verwendet haben. Um die Bindung zu entfernen und ACM das Löschen Ihres Zertifikats zu ermöglichen, müssen Sie die benutzerdefinierte API-Gateway-Domain entfernen, die mit dem Zertifikat verknüpft ist.
Wenn Sie einen *regionalen* API-Endpunkt bereitstellen, erstellt API Gateway in Ihrem Namen einen Application Load Balancer (ALB). Der Load Balancer gehört zu API Gateway und ist für Sie nicht sichtbar. Der ALB ist an das ACM-Zertifikat gebunden, das Sie zur Bereitstellung Ihrer API verwendet haben. Um die Bindung zu entfernen und ACM das Löschen Ihres Zertifikats zu ermöglichen, müssen Sie die benutzerdefinierte API-Gateway-Domain entfernen, die mit dem Zertifikat verknüpft ist.
# Was zu tun ist, wenn ein Arbeitszertifikat unerwartet fehlschlägt
Wenn Sie erfolgreich ein ACM-Zertifikat mit einem integrierten Dienst verknüpft haben, das Zertifikat jedoch nicht mehr funktioniert und der integrierte Dienst beginnt, Fehler zurückzugeben, kann die Ursache eine Änderung der Berechtigungen sein, die der Dienst benötigt, um ein ACM-Zertifikat zu verwenden.
Elastic Load Balancing (ELB) benötigt beispielsweise die Erlaubnis zur Entschlüsselung, AWS KMS key die wiederum den privaten Schlüssel des Zertifikats entschlüsselt. Diese Berechtigung wird durch eine ressourcenbasierte Richtlinie erteilt, die ACM anwendet, wenn Sie ein Zertifikat mit ELB verknüpfen. Wenn ELB die Berechtigung für diese Berechtigung verliert, schlägt sie beim nächsten Versuch fehl, den Zertifikatschlüssel zu entschlüsseln.
Um das Problem zu untersuchen, überprüfen Sie den Status Ihrer Grants in der AWS KMS Konsole unter. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) Führen Sie dann eine der folgenden Aktionen durch:
+ Wenn Sie der Meinung sind, dass Berechtigungen, die einem integrierten Dienst gewährt wurden, widerrufen wurden, besuchen Sie die Konsole des integrierten Dienstes, trennen Sie die Zuordnung des Zertifikats vom Dienst und verknüpfen Sie es dann erneut. Dadurch wird die ressourcenbasierte Politik erneut angewendet und ein neuer Zuschuss eingeführt.
+ Wenn Sie glauben, dass ACM erteilte Berechtigungen entzogen wurden, wenden Sie sich Support an at https://console.aws.amazon.com/support/ home\$1/.
# Probleme mit der ACM-servicegebundene Rolle (Service-Linked Role, SLR)
[Wenn Sie ein von einer privaten Zertifizierungsstelle signiertes Zertifikat ausstellen, das Ihnen von einem anderen Konto zur Verfügung gestellt wurde, versucht ACM bei der ersten Verwendung, eine serviceverknüpfte Rolle (SLR) einzurichten, die als Principal mit einer ressourcenbasierten Zugriffsrichtlinie interagiert. AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/pca-resource-sharing.html#pca-rbp) Wenn Sie ein privates Zertifikat von einer freigegebenen Zertifizierungsstelle ausstellen und die SLR nicht vorhanden ist, kann ACM dieses Zertifikat nicht automatisch für Sie erneuern.
ACM weist Sie möglicherweise darauf hin, dass es nicht feststellen kann, ob eine Spiegelreflexkamera in Ihrem Konto vorhanden ist. Wenn die erforderliche`iam:GetRole`-Berechtigung bereits der ACM-SLR für Ihr Konto erteilt wurde, wird die Warnung nach der Erstellung der Spiegelreflexkamera nicht mehr angezeigt. Wenn dies erneut auftritt, müssen Sie oder Ihr Kontoadministrator möglicherweise die`iam:GetRole`Berechtigung für ACM, oder verknüpfen Sie Ihr Konto mit der von ACM verwalteten Richtlinie`AWSCertificateManagerFullAccess`aus.
Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
# Umgang mit Ausnahmen
Ein AWS Certificate Manager Befehl kann aus verschiedenen Gründen fehlschlagen. Weitere Informationen zu den einzelnen Ausnahmen finden Sie in der folgenden Tabelle.
## Umgang mit Ausnahmen bei privaten Zertifikaten
Die folgenden Ausnahmen können auftreten, wenn Sie versuchen, ein privates PKI-Zertifikat zu erneuern, das von AWS Private CA ausgestellt wurde.
**Anmerkung**
AWS Private CA wird in der Region China (Peking) und der Region China (Ningxia) nicht unterstützt.
| ACM-Fehlercode | Comment |
| --- | --- |
| `PCA_ACCESS_DENIED` | Die private Zertifizierungsstelle hat keine ACM-Berechtigungen erteilt. Dies löst einen AWS Private CA `AccessDeniedException` Fehlercode aus. Um das Problem zu beheben, gewähren Sie dem ACM-Dienstprinzipal, der den AWS Private CA [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)Vorgang verwendet, die erforderlichen Berechtigungen. |
| `PCA_INVALID_DURATION` | Die Gültigkeitsdauer des angeforderten Zertifikats überschreitet die Gültigkeitsdauer der ausstellenden privaten CA. Dies löst einen AWS Private CA `ValidationException` Fehlercode aus. Um das Problem zu beheben, [installieren Sie ein neues CA-Zertifikat](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html) mit einem entsprechenden Gültigkeitszeitraum. |
| `PCA_INVALID_STATE` | Die aufgerufene private CA hat nicht den richtigen Status angenommen, um den angeforderten ACM-Vorgang auszuführen. Dies löst einen AWS Private CA `InvalidStateException` Fehlercode aus. Beheben Sie das Problem wie folgt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/acm/latest/userguide/exceptions.html) |
| `PCA_LIMIT_EXCEEDED` | Die private Zertifizierungsstelle hat das Ausgabekontingent erreicht. Dies löst einen AWS Private CA `LimitExceededException` Fehlercode aus. Versuchen Sie, Ihre Anfrage zu wiederholen, bevor Sie mit dieser Hilfe fortfahren. Wenn der Fehler weiterhin besteht, wenden Sie sich an [Support](https://console.aws.amazon.com/support/home#/), um eine Kontingenterhöhung anzufordern. |
| `PCA_REQUEST_FAILED` | Ein Netzwerk- oder Systemfehler ist aufgetreten. Dies löst einen AWS Private CA `RequestFailedException` Fehlercode aus. Versuchen Sie, Ihre Anfrage zu wiederholen, bevor Sie mit dieser Hilfe fortfahren. Wenn das Problem weiterhin besteht, wenden Sie sich bitte an [Support](https://console.aws.amazon.com/support/home#/). |
| `PCA_RESOURCE_NOT_FOUND` | Die private Zertifizierungsstelle wurde endgültig gelöscht. Dies löst einen AWS Private CA `ResourceNotFoundException` Fehlercode aus. Überprüfen Sie, ob Sie den richtigen ARN verwendet haben. Wenn dies fehlschlägt, können Sie diese Zertifizierungsstelle nicht verwenden. Um das Problem zu beheben, [erstellen Sie eine neue Zertifizierungsstelle](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCreateCa.html). |
| SLR\$1NOT\$1FOUND | Um ein Zertifikat zu erneuern, das von einer privaten Zertifizierungsstelle signiert wurde, die sich in einem anderen Konto befindet, benötigt ACM eine Service Linked Role (SLR) für das Konto, auf dem sich das Zertifikat befindet. Wenn Sie eine gelöschte SLR neu erstellen müssen, finden Sie unter[Erstellen der SLR für ACM](acm-slr.md#create-slr)aus. |