Beispiele für die Verwendung der AWS CLI mit ACM

Die folgenden Codebeispiele zeigen, wie Sie Aktionen durchführen und gängige Szenarien implementieren, indem Sie die AWS Command Line Interface mit ACM nutzen.

Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Während Aktionen Ihnen zeigen, wie Sie einzelne Service-Funktionen aufrufen, können Sie Aktionen im Kontext der zugehörigen Szenarien anzeigen.

Jedes Beispiel enthält einen Link zum vollständigen Quellcode, wo Sie Anleitungen zum Einrichten und Ausführen des Codes im Kontext finden.

Themen

Aktionen

Aktionen

Das folgende Codebeispiel zeigt, wie add-tags-to-certificate verwendet wird.

AWS CLI

So fügen Sie einem vorhandenen ACM-Zertifikat Tags hinzu

Der folgende add-tags-to-certificate-Befehl fügt dem angegebenen Zertifikat zwei Tags hinzu. Verwenden Sie ein Leerzeichen, um mehrere Tags voneinander zu trennen:


aws acm add-tags-to-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --tags Key=Admin,Value=Alice Key=Purpose,Value=Website

API-Details finden Sie unter AddTagsToCertificate in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie delete-certificate verwendet wird.

AWS CLI

So löschen Sie ein ACM-Zertifikat aus Ihrem Konto

Der folgende delete-certificate-Befehl löscht das Zertifikat mit dem angegebenen ARN:


aws acm delete-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

API-Details finden Sie unter DeleteCertificate in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie describe-certificate verwendet wird.

AWS CLI

So rufen Sie die in einem ACM-Zertifikat enthaltenen Felder ab

Der folgende describe-certificate-Befehl ruft alle Felder für das Zertifikat mit dem angegebenen ARN ab:


aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

Die Ausgabe sieht in etwa wie folgt aus:


{
  "Certificate": {
    "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012",
    "CreatedAt": 1446835267.0,
    "DomainName": "www.example.com",
    "DomainValidationOptions": [
      {
        "DomainName": "www.example.com",
        "ValidationDomain": "www.example.com",
        "ValidationEmails": [
          "hostmaster@example.com",
          "admin@example.com",
          "owner@example.com.whoisprivacyservice.org",
          "tech@example.com.whoisprivacyservice.org",
          "admin@example.com.whoisprivacyservice.org",
          "postmaster@example.com",
          "webmaster@example.com",
          "administrator@example.com"
        ]
      },
      {
        "DomainName": "www.example.net",
        "ValidationDomain": "www.example.net",
        "ValidationEmails": [
          "postmaster@example.net",
          "admin@example.net",
          "owner@example.net.whoisprivacyservice.org",
          "tech@example.net.whoisprivacyservice.org",
          "admin@example.net.whoisprivacyservice.org",
          "hostmaster@example.net",
          "administrator@example.net",
          "webmaster@example.net"
        ]
      }
    ],
    "InUseBy": [],
    "IssuedAt": 1446835815.0,
    "Issuer": "Amazon",
    "KeyAlgorithm": "RSA-2048",
    "NotAfter": 1478433600.0,
    "NotBefore": 1446768000.0,
    "Serial": "0f:ac:b0:a3:8d:ea:65:52:2d:7d:01:3a:39:36:db:d6",
    "SignatureAlgorithm": "SHA256WITHRSA",
    "Status": "ISSUED",
    "Subject": "CN=www.example.com",
    "SubjectAlternativeNames": [
      "www.example.com",
      "www.example.net"
    ]
  }
}

API-Details finden Sie unter DescribeCertificates in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie export-certificate verwendet wird.

AWS CLI

So exportieren Sie ein privates Zertifikat, das von einer privaten Zertifizierungsstelle ausgegeben wurde.

Mit dem folgenden export-certificate-Befehl werden ein privates Zertifikat, eine Zertifikatskette und ein privater Schlüssel auf Ihr Display exportiert:


aws acm export-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --passphrase file://path-to-passphrase-file

Verwenden Sie den folgenden Befehl, um das Zertifikat, die Kette und den privaten Schlüssel in eine lokale Datei zu exportieren:


aws acm export-certificate --certificate-arn arn:aws:acm:region:sccount:certificate/12345678-1234-1234-1234-123456789012 --passphrase file://path-to-passphrase-file > c:\temp\export.txt

API-Details finden Sie unter ExportCertificate in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie get-certificate verwendet wird.

AWS CLI

So rufen Sie ein ACM-Zertifikat ab

Der folgende get-certificate-Befehl ruft das Zertifikat für den angegebenen ARN und die Zertifikatskette ab:


aws acm get-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

Die Ausgabe sieht in etwa wie folgt aus:


{
  "Certificate": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----",

  "CertificateChain": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----"
}

API-Details finden Sie unter GetCertificate in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie import-certificate verwendet wird.

AWS CLI

So importieren Sie ein Zertifikat in ACM

Der folgende import-certificate-Befehl importiert ein Zertifikat in ACM. Ersetzen Sie die Dateinamen durch Ihre eigenen:


aws acm import-certificate --certificate file://Certificate.pem --certificate-chain file://CertificateChain.pem --private-key file://PrivateKey.pem

API-Details finden Sie unter ImportCertificate in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie list-certificates verwendet wird.

AWS CLI

So listen Sie die ACM-Zertifikate für ein AWS-Konto auf

Der folgende list-certificates-Befehl listet die ARNs der Zertifikate in Ihrem Konto auf:


aws acm list-certificates

Der vorhergehende Befehl erzeugt eine Ausgabe, die der folgenden ähnelt:


{
    "CertificateSummaryList": [
        {
            "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012",
            "DomainName": "www.example.com"
        },
        {
            "CertificateArn": "arn:aws:acm:region:account:certificate/aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee",
            "DomainName": "www.example.net"
        }
    ]
}

Sie können festlegen, wie viele Zertifikate bei jedem Aufruf von list-certificates angezeigt werden sollen. Wenn Sie beispielsweise vier Zertifikate haben und jeweils höchstens zwei gleichzeitig anzeigen möchten, setzen Sie das Argument max-items auf 2, wie im folgenden Beispiel gezeigt:


aws acm list-certificates --max-items 2

Es werden zwei Zertifikats-ARNs und ein NextToken-Wert angezeigt:


"CertificateSummaryList": [
  {
    "CertificateArn": "arn:aws:acm:region:account: \
            certificate/12345678-1234-1234-1234-123456789012",
    "DomainName": "www.example.com"
  },
  {
    "CertificateArn": "arn:aws:acm:region:account: \
             certificate/aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee",
    "DomainName": "www.example.net"
  }
  ],
    "NextToken": "9f4d9f69-275a-41fe-b58e-2b837bd9ba48"

Um die nächsten beiden Zertifikate in Ihrem Konto anzuzeigen, legen Sie den NextToken-Wert in Ihrem nächsten Aufruf fest:


aws acm list-certificates --max-items 2 --next-token 9f4d9f69-275a-41fe-b58e-2b837bd9ba48

Sie können Ihre Ausgabe mithilfe des Arguments certificate-statuses filtern. Mit dem folgenden Befehl werden Zertifikate angezeigt, die den Status PENDING_VALIDATION haben:


aws acm list-certificates --certificate-statuses PENDING_VALIDATION

Sie können Ihre Ausgabe auch mithilfe des Arguments includes filtern. Der folgende Befehl zeigt Zertifikate an, die nach den folgenden Eigenschaften gefiltert werden. Die anzuzeigenden Zertifikate:


- Specify that the RSA algorithm and a 2048 bit key are used to generate key pairs.
- Contain a Key Usage extension that specifies that the certificates can be used to create digital signatures.
- Contain an Extended Key Usage extension that specifies that the certificates can be used for code signing.

aws acm list-certificates --max-items 10 --includes extendedKeyUsage=CODE_SIGNING,keyUsage=DIGITAL_SIGNATURE,keyTypes=RSA_2048

API-Details finden Sie unter ListCertificates in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie list-tags-for-certificate verwendet wird.

AWS CLI

So listen Sie die Tags auf, die auf ein ACM-Zertifikat angewendet werden

Mit dem folgenden list-tags-for-certificate-Befehl werden die Tags aufgelistet, die auf ein Zertifikat in Ihrem Konto angewendet werden:


aws acm list-tags-for-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

Der vorhergehende Befehl erzeugt eine Ausgabe, die der folgenden ähnelt:


{
  "Tags": [
      {
          "Value": "Website",
          "Key": "Purpose"
      },
      {
          "Value": "Alice",
          "Key": "Admin"
      }
  ]
}

API-Details finden Sie unter ListTagsForCertificate in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie remove-tags-from-certificate verwendet wird.

AWS CLI

So entfernen Sie ein Tag aus einem ACM-Zertifikat

Der folgende remove-tags-from-certificate-Befehl entfernt zwei Tags aus dem angegebenen Zertifikat. Verwenden Sie ein Leerzeichen, um mehrere Tags voneinander zu trennen:


aws acm remove-tags-from-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --tags Key=Admin,Value=Alice Key=Purpose,Value=Website

API-Details finden Sie unter RemoveTagsFromCertificate in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie request-certificate verwendet wird.

AWS CLI

So fordern Sie ein neues ACM-Zertifikat an

Mit dem folgenden request-certificate-Befehl wird mithilfe der DNS-Validierung ein neues Zertifikat für die Domain www.example.com angefordert:


aws acm request-certificate --domain-name www.example.com --validation-method DNS

Sie können ein Idempotenz-Token eingeben, um zwischen mehreren Aufrufen von request-certificate zu unterscheiden:


aws acm request-certificate --domain-name www.example.com --validation-method DNS --idempotency-token 91adc45q

Sie können einen oder mehrere Subject Alternative Names angeben, um ein Zertifikat anzufordern, das mehr als eine Apex-Domain schützt.


aws acm request-certificate --domain-name example.com --validation-method DNS --idempotency-token 91adc45q --subject-alternative-names www.example.net

Sie können einen alternativen Namen eingeben, der auch für den Zugriff auf Ihre Website verwendet werden kann:


aws acm request-certificate --domain-name example.com --validation-method DNS --idempotency-token 91adc45q --subject-alternative-names www.example.com

Sie können ein Sternchen (*) als Platzhalter verwenden, um ein Zertifikat für mehrere Subdomains in derselben Domain zu erstellen:


aws acm request-certificate --domain-name example.com --validation-method DNS --idempotency-token 91adc45q --subject-alternative-names *.example.com

Sie können auch mehrere alternative Namen eingeben:


aws acm request-certificate --domain-name example.com --validation-method DNS --subject-alternative-names b.example.com c.example.com d.example.com

Wenn Sie E-Mail für die Validierung verwenden, können Sie Optionen für die Domainvalidierung eingeben, um die Domain anzugeben, an die die Validierungs-E-Mail gesendet werden soll:


aws acm request-certificate --domain-name example.com --validation-method EMAIL --subject-alternative-names www.example.com --domain-validation-options DomainName=example.com,ValidationDomain=example.com

Mit dem folgenden Befehl wird die Protokollierung der Zertifikatstransparenz deaktiviert, wenn Sie ein neues Zertifikat anfordern:


aws acm request-certificate --domain-name www.example.com --validation-method DNS --options CertificateTransparencyLoggingPreference=DISABLED --idempotency-token 184627

API-Details finden Sie unter RequestCertificate in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie resend-validation-email verwendet wird.

AWS CLI

So senden Sie die Validierungs-E-Mail für Ihre ACM-Zertifikatsanforderung erneut

Der folgende resend-validation-email-Befehl weist die Amazon-Zertifizierungsstelle an, eine Validierungs-E-Mail an die entsprechenden Adressen zu senden:


aws acm resend-validation-email --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --domain www.example.com --validation-domain example.com

API-Details finden Sie unter ResendValidationEmail in der AWS CLI-Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie update-certificate-options verwendet wird.

AWS CLI

So aktualisieren Sie die Zertifikatsoptionen

Mit dem folgenden update-certificate-options-Befehl wird die Protokollierung für Zertifikatstransparenz deaktiviert:


aws acm update-certificate-options --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --options CertificateTransparencyLoggingPreference=DISABLED

API-Details finden Sie unter UpdateCertificateOptions in der AWS CLI-Befehlsreferenz.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Befehlsbeispiele

API Gateway