Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwalten eigener CA-Zertifikate
In diesem Abschnitt werden allgemeine Aufgaben für die Verwaltung eigener Zertifizierungsstellenzertifikate (Certificate Authority, CA) beschrieben.
Sie können Ihre Zertifizierungsstelle (CA) bei registrieren, AWS IoT wenn Sie Client-Zertifikate verwenden, die von einer Zertifizierungsstelle signiert wurden, die diese AWS IoT nicht erkennt.
Wenn Sie möchten, dass Clients ihre Client-Zertifikate AWS IoT bei der ersten Verbindung automatisch registrieren, muss die Zertifizierungsstelle, die die Client-Zertifikate signiert hat, bei der registriert sein AWS IoT. Andernfalls müssen Sie das CA-Zertifikat, das die Clientzertifikate signiert hat, nicht registrieren.
**Anmerkung**
Ein CA-Zertifikat kann nur im `DEFAULT`-Modus von einem Konto in einer Region registriert werden. Ein CA-Zertifikat kann nur im `SNI_ONLY`-Modus von mehreren Konten in einer Region registriert werden.
**Topics**
+ [So erstellen Sie ein CA-Zertifikat](#create-your-CA-cert)
+ [Registrieren eines CA-Zertifikats](#register-CA-cert)
+ [Deaktivieren eines CA-Zertifikats](#deactivate-ca-cert)
## So erstellen Sie ein CA-Zertifikat
Wenn Sie kein CA-Zertifikat besitzen, können Sie [OpenSSL-v1.1.1i](https://www.openssl.org/)-Tools verwenden, um ein Zertifikat zu erstellen.
**Anmerkung**
Sie können dieses Verfahren nicht in der AWS IoT Konsole ausführen.
**So erstellen Sie ein CA-Zertifikat mit [OpenSSL-v1.1.1i](https://www.openssl.org/)-Tools.**
1. Erzeugen Sie ein Schlüsselpaar.
```
openssl genrsa -out {{root_CA_key_filename.key}} 2048
```
1. Verwenden Sie den privaten Schlüssel des Schlüsselpaars zur Erzeugung eines CA-Zertifikats.
```
openssl req -x509 -new -nodes \
-key {{root_CA_key_filename.key}} \
-sha256 -days 1024 \
-out {{root_CA_cert_filename.pem}}
```
## Registrieren eines CA-Zertifikats
Diese Verfahren beschreiben, wie Sie ein Zertifikat von einer Zertifizierungsstelle (CA) registrieren, die nicht die Zertifizierungsstelle von Amazon ist. AWS IoT Core verwendet CA-Zertifikate, um den Besitz von Zertifikaten zu überprüfen. Um Gerätezertifikate zu verwenden, die von einer Zertifizierungsstelle signiert wurden, bei der es sich nicht um die Zertifizierungsstelle von Amazon handelt, müssen Sie das CA-Zertifikat registrieren, AWS IoT Core damit die Inhaberschaft des Gerätezertifikats verifiziert werden kann.
### Registrieren eines CA-Zertifikats (Konsole)
**Anmerkung**
Starten Sie die Konsole unter [CA-Zertifikat registrieren](https://console.aws.amazon.com//iot/home#/create/cacertificate), um ein CA-Zertifikat in der Konsole zu registrieren. Sie können Ihre CA im Modus für mehrere Konten registrieren, ohne dass Sie ein Verifizierungszertifikat bereitstellen müssen oder Zugriff auf den privaten Schlüssel benötigen. Eine CA kann im Modus für mehrere Konten von mehreren AWS-Konten gleichzeitig in derselben AWS-Region registriert werden. Sie können Ihre CA im Einzelkonto-Modus registrieren, indem Sie ein Verifizierungszertifikat und einen Eigentumsnachweis für den privaten Schlüssel der CA vorlegen.
### Registrieren eines CA-Zertifikats (CLI)
Sie können ein CA-Zertifikat im `DEFAULT`-Modus oder im `SNI_ONLY`-Modus registrieren. Eine CA kann im `DEFAULT` Modus eins zu eins AWS-Konto registriert werden AWS-Region. Eine CA kann im `SNI_ONLY` Modus von mehreren AWS-Konten gleichzeitig registriert werden AWS-Region. Weitere Informationen zu CA-Zertifikaten finden Sie unter [certificateMode](https://docs.aws.amazon.com//iot/latest/apireference/API_CACertificateDescription.html#iot-Type-CACertificateDescription-certificateMode).
**Anmerkung**
Es wird empfohlen, dass Sie eine CA im `SNI_ONLY`-Modus registrieren. Sie müssen weder ein Bestätigungszertifikat noch Zugriff auf den privaten Schlüssel vorlegen, und Sie können die Zertifizierungsstelle von mehreren AWS-Konten gleichzeitig registrieren AWS-Region.
#### Registrieren Sie ein CA-Zertifikat im SNI\_ONLY-Modus (CLI) – Empfohlen
**Voraussetzungen**
Stellen Sie sicher, dass Sie auf Ihrem Computer über Folgendes verfügen, bevor Sie fortfahren:
+ Die Zertifikatsdatei der Root-CA (im folgenden Beispiel referenziert als `{{root_CA_cert_filename.pem}}`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) oder höher
**Um ein CA-Zertifikat im `SNI_ONLY` Modus zu registrieren, verwenden Sie AWS CLI**
1. Registrieren Sie das CA-Zertifikat mit AWS IoT. Geben Sie mit dem Befehl **register-ca-certificate** den Namen der CA-Zertifikatsdatei ein. Weitere Informationen finden Sie unter [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) in der Referenz zum *AWS CLI -Befehl*.
```
aws iot register-ca-certificate \
--ca-certificate file://{{root_CA_cert_filename.pem}} \
--certificate-mode {{SNI_ONLY}}
```
Bei Erfolg gibt dieser Befehl den zurück{{certificateId}}.
1. Zu diesem Zeitpunkt wurde das CA-Zertifikat registriert, ist AWS IoT aber inaktiv. Das CA-Zertifikat muss aktiv sein, damit Sie Clientzertifikate registrieren können, die von diesem Zertifikat signiert sind.
In diesem Schritt wird das CA-Zertifikat aktiviert.
Verwenden Sie Befehl **update-certificate** wie folgt, um das CA-Zertifikat zu aktivieren. Weitere Informationen finden Sie unter [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) in der *AWS CLI -Befehlsreferenz*.
```
aws iot update-ca-certificate \
--certificate-id {{certificateId}} \
--new-status ACTIVE
```
Verwenden Sie den Befehl **describe-ca-certificate**, um den Status des CA-Zertifikats anzuzeigen. Weitere Informationen finden Sie unter [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) in der Referenz zum *AWS CLI -Befehl*.
#### Registrieren eines CA-Zertifikats im `DEFAULT`-Modus (CLI)
**Voraussetzungen**
Stellen Sie sicher, dass Sie auf Ihrem Computer über Folgendes verfügen, bevor Sie fortfahren:
+ Die Zertifikatsdatei der Root-CA (im folgenden Beispiel referenziert als `{{root_CA_cert_filename.pem}}`)
+ Die private Schlüsseldatei des Root-CA-Zertifikats (im folgenden Beispiel referenziert als `{{root_CA_key_filename.key}}`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) oder höher
**Um ein CA-Zertifikat im `DEFAULT` Modus zu registrieren, verwenden Sie den AWS CLI**
1. Um einen Registrierungscode von zu erhalten AWS IoT, verwenden Sie**get-registration-code**. Speichern Sie den zurückgegebenen `registrationCode`, um ihn als `Common Name` des Verifizierungszertifikats für private Schlüssel zu verwenden. Weitere Informationen finden Sie unter [get-registration-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/get-registration-code.html) in der Referenz zum *AWS CLI -Befehl*.
```
aws iot get-registration-code
```
1. Generieren Sie ein Schlüsselpaar für das Verifizierungszertifikat für private Schlüssel:
```
openssl genrsa -out {{verification_cert_key_filename.key}} 2048
```
1. Erstellen Sie eine Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) für das Verifizierungszertifikat für private Schlüssel. Geben Sie im Feld `Common Name` des Zertifikats den von **get-registration-code** zurückgegebenen Wert für `registrationCode` ein.
```
openssl req -new \
-key {{verification_cert_key_filename.key}} \
-out {{verification_cert_csr_filename.csr}}
```
Sie werden aufgefordert, einige Informationen zum Zertifikat einzugeben, z. B. den `Common Name`.
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:{{your_registration_code}}
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
1. Verwenden Sie die CSR, um ein Verifizierungszertifikat für private Schlüssel zu erstellen:
```
openssl x509 -req \
-in {{verification_cert_csr_filename.csr}} \
-CA {{root_CA_cert_filename.pem}} \
-CAkey {{root_CA_key_filename.key}} \
-CAcreateserial \
-out {{verification_cert_filename.pem}} \
-days 500 -sha256
```
1. Registrieren Sie das CA-Zertifikat mit AWS IoT. Geben Sie den Dateinamen des CA-Zertifikats und den Dateinamen des Verifizierungszertifikat für private Schlüssel wie folgt an den Befehl **register-ca-certificate** weiter. Weitere Informationen finden Sie unter [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) in der Referenz zum *AWS CLI -Befehl*.
```
aws iot register-ca-certificate \
--ca-certificate file://{{root_CA_cert_filename.pem}} \
--verification-cert file://{{verification_cert_filename.pem}}
```
Dieser Befehl gibt bei Erfolg den {{certificateId}} zurück.
1. Zu diesem Zeitpunkt wurde das CA-Zertifikat registriert, ist AWS IoT aber nicht aktiv. Das CA-Zertifikat muss aktiv sein, damit Sie Clientzertifikate registrieren können, die von diesem Zertifikat signiert sind.
In diesem Schritt wird das CA-Zertifikat aktiviert.
Verwenden Sie Befehl **update-certificate** wie folgt, um das CA-Zertifikat zu aktivieren. Weitere Informationen finden Sie unter [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) in der *AWS CLI -Befehlsreferenz*.
```
aws iot update-ca-certificate \
--certificate-id {{certificateId}} \
--new-status ACTIVE
```
Verwenden Sie den Befehl **describe-ca-certificate**, um den Status des CA-Zertifikats anzuzeigen. Weitere Informationen finden Sie unter [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) in der Referenz zum *AWS CLI -Befehl*.
### Erstellen Sie ein CA-Verifizierungszertifikat, um das CA-Zertifikat in der Konsole zu registrieren.
**Anmerkung**
Dieses Verfahren wird nur verwendet, wenn Sie ein CA-Zertifikat von der AWS IoT Konsole aus registrieren.
Wenn Sie dieses Verfahren nicht von der AWS IoT Konsole aus aufgerufen haben, starten Sie den Registrierungsprozess für das CA-Zertifikat in der Konsole unter [CA-Zertifikat registrieren](https://console.aws.amazon.com//iot/home#/create/cacertificate).
Stellen Sie sicher, dass Sie auf demselben Computer über Folgendes verfügen, bevor Sie fortfahren:
+ Die Zertifikatsdatei der Root-CA (im folgenden Beispiel referenziert als `{{root_CA_cert_filename.pem}}`)
+ Die private Schlüsseldatei des Root-CA-Zertifikats (im folgenden Beispiel referenziert als `{{root_CA_key_filename.key}}`)
+ [OpenSSL v1.1.1i](https://www.openssl.org/) oder höher
**Erstellen Sie ein CA-Verifizierungszertifikat, um Ihr CA-Zertifikat in der Konsole zu registrieren und die Befehlszeilenschnittstelle zu verwenden.**
1. Ersetzen Sie `{{verification_cert_key_filename.key}}` durch den Namen der Schlüsseldatei für das Verifizierungszertifikat, die Sie erstellen möchten (z. B. **verification\_cert.key**). Führen Sie anschließend diesen Befehl aus, um ein Schlüsselpaar für das Verifizierungszertifikat für private Schlüssel zu generieren:
```
openssl genrsa -out {{verification_cert_key_filename.key}} 2048
```
1. Ersetzen Sie `{{verification_cert_key_filename.key}}` durch den Namen der Schlüsseldatei, die Sie in Schritt 1 erstellt haben.
Ersetzen Sie `{{verification_cert_csr_filename.csr}}` durch den Namen der Zertifikatsignierungsanforderungsdatei (Certificate Signing Request, CSR), die Sie erstellen möchten. Beispiel, **verification\_cert.csr**.
Führen Sie den Befehl aus, um die CSR-Datei zu erstellen.
```
openssl req -new \
-key {{verification_cert_key_filename.key}} \
-out {{verification_cert_csr_filename.csr}}
```
Der Befehl fordert Sie zur Eingabe zusätzlicher Informationen auf, die an späterer Stelle erläutert werden.
1. Kopieren Sie in der AWS IoT Konsole im Container für das **Bestätigungszertifikat** den Registrierungscode.
1. Im folgenden Beispiel wird gezeigt, welche Informationen der Befehl **openssl** fordert. Mit Ausnahme des Felds `Common Name` können Sie Ihre eigenen Werte eingeben oder sie leer lassen.
Fügen Sie in das Feld `Common Name` den Registrierungscode ein, den Sie im vorherigen Schritt kopiert haben.
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:{{your_registration_code}}
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
Danach erstellt der Befehl die CSR-Datei.
1. Ersetzen Sie die `{{verification_cert_csr_filename.csr}}` durch die `{{verification_cert_csr_filename.csr}}`, die Sie im vorherigen Schritt verwendet haben.
Ersetzen Sie `{{root_CA_cert_filename.pem}}` durch den Namen der CA-Zertifikatsdatei, die Sie registrieren möchten.
Ersetzen Sie `{{root_CA_key_filename.key}}` durch den Namen der privaten Schlüsseldatei des CA-Zertifikats.
Ersetzen Sie `{{verification_cert_filename.pem}}` durch den Namen der Verifizierungszertifikatdatei, die Sie erstellen möchten. Beispiel, **verification\_cert.pem**.
```
openssl x509 -req \
-in {{verification_cert_csr_filename.csr}} \
-CA {{root_CA_cert_filename.pem}} \
-CAkey {{root_CA_key_filename.key}} \
-CAcreateserial \
-out {{verification_cert_filename.pem}} \
-days 500 -sha256
```
1. Nachdem der OpenSSL-Befehl abgeschlossen ist, sollten Sie diese Dateien bereit haben, wenn Sie zur Konsole zurückkehren.
+ Ihre CA-Zertifikatsdatei (wurde im vorherigen Befehl `{{root_CA_cert_filename.pem}}` verwendet)
+ Das Bestätigungszertifikat, das Sie im vorherigen Schritt erstellt haben (das im vorherigen Befehl {{verification\_cert\_filename.pem}} verwendet wurde)
## Deaktivieren eines CA-Zertifikats
Wenn ein Zertifizierungsstellenzertifikat (CA) für die automatische Registrierung von Client-Zertifikaten aktiviert ist, wird das CA-Zertifikat AWS IoT überprüft, um sicherzustellen, dass es sich um die Zertifizierungsstelle handelt`ACTIVE`. Wenn das CA-Zertifikat aktiviert ist`INACTIVE`, kann das Client-Zertifikat AWS IoT nicht registriert werden.
Wenn Sie den Status des CA-Zertifikats auf `INACTIVE` setzen, verhindern Sie, dass neue Clientzertifikate, die von der CA ausgestellt werden, automatisch registriert werden.
**Anmerkung**
Alle registrierten Clientzertifikate, die vom kompromittierten CA-Zertifikat signiert wurden, sind so lange weiterhin aktiv, bis Sie sie jeweils explizit widerrufen.
### Deaktivieren eines CA-Zertifikats (Konsole)
**Um ein CA-Zertifikat mit der AWS IoT Konsole zu deaktivieren**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die [AWS IoT Konsole](https://console.aws.amazon.com/iot/home).
1. Wählen Sie im linken Navigationsbereich die Option **Sicher**, wählen Sie **CAs**.
1. Suchen Sie in der Liste der Zertifizierungsstellen diejenige, die Sie deaktivieren möchten, und öffnen Sie das Optionsmenü über das Ellipsensymbol.
1. Wählen Sie im Optionsmenü die Option **Deaktivieren**.
Die Zertifizierungsstelle sollte in der Liste als **Inaktiv** angezeigt werden.
**Anmerkung**
Die AWS IoT Konsole bietet keine Möglichkeit, die Zertifikate aufzulisten, die von der Zertifizierungsstelle signiert wurden, die Sie deaktiviert haben. Eine Option zum Auflisten dieser Zertifikate mithilfe der AWS CLI finden Sie unter [Deaktivieren eines CA-Zertifikats (CLI)](#deactivate-ca-cert-cli).
### Deaktivieren eines CA-Zertifikats (CLI)
Das AWS CLI stellt den [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)Befehl zum Deaktivieren eines CA-Zertifikats bereit.
```
aws iot update-ca-certificate \
--certificate-id {{certificateId}} \
--new-status INACTIVE
```
Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html), um eine Liste aller registrierten Clientzertifikate zu erhalten, die von der angegebenen CA signiert wurden. Verwenden Sie für jedes Clientzertifikat, das mit dem angegebenen CA-Zertifikat signiert ist, den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html), um das Clientzertifikat zu widerrufen und dadurch zu verhindern, dass es verwendet wird.
Verwenden Sie den Befehl [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html), um den Status des CA-Zertifikats anzuzeigen.