Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Migrieren Sie Windows-SSL-Zertifikate mithilfe von ACM zu einem Application Load Balancer
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm"></a>

*Chandra Sekhar Yaratha und Igor Kovalchuk, Amazon Web Services*

## Zusammenfassung
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-summary"></a>

Das Muster enthält Anleitungen zur Verwendung von AWS Certificate Manager (ACM) zur Migration vorhandener Secure Sockets Layer (SSL) -Zertifikate von Websites, die auf lokalen Servern oder Amazon Elastic Compute Cloud (Amazon EC2) -Instances auf Microsoft Internet Information Services (IIS) gehostet werden. Die SSL-Zertifikate können dann mit Elastic Load Balancing auf AWS verwendet werden. 

SSL schützt Ihre Daten, bestätigt Ihre Identität, sorgt für bessere Platzierungen in Suchmaschinen, trägt zur Erfüllung der Anforderungen des Payment Card Industry Data Security Standard (PCI DSS) bei und stärkt das Kundenvertrauen. Entwickler und IT-Teams, die diese Workloads verwalten, möchten, dass ihre Webanwendungen und Infrastruktur, einschließlich des IIS-Servers und des Windows-Servers, ihren grundlegenden Richtlinien entsprechen.

Dieses Muster umfasst den manuellen Export vorhandener SSL-Zertifikate aus Microsoft IIS, deren Konvertierung vom PFX-Format (Personal Information Exchange) in das von ACM unterstützte PEM-Format (Private Enhanced Mail) und das anschließende Importieren in ACM in Ihrem AWS-Konto. Außerdem wird beschrieben, wie Sie einen Application Load Balancer für Ihre Anwendung erstellen und den Application Load Balancer so konfigurieren, dass er Ihre importierten Zertifikate verwendet. HTTPS-Verbindungen werden dann auf dem Application Load Balancer beendet, und Sie benötigen keinen weiteren Konfigurationsaufwand auf dem Webserver. Weitere Informationen finden Sie unter [Einen HTTPS-Listener für Ihren Application Load Balancer erstellen](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).

Windows-Server verwenden PFX- oder .P12-Dateien, um die öffentliche Schlüsseldatei (SSL-Zertifikat) und ihre eindeutige private Schlüsseldatei zu speichern. Die Zertifizierungsstelle (CA) stellt Ihnen Ihre öffentliche Schlüsseldatei zur Verfügung. Sie verwenden Ihren Server, um die zugehörige private Schlüsseldatei zu generieren, in der die Certificate Signing Request (CSR) erstellt wurde.

## Voraussetzungen und Einschränkungen
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-prereqs"></a>

**Voraussetzungen**
+ Ein aktives AWS-Konto
+ Eine virtuelle private Cloud (VPC) auf AWS mit mindestens einem privaten und einem öffentlichen Subnetz in jeder Availability Zone, die von Ihren Zielen verwendet wird
+ IIS-Version 8.0 oder höher, läuft auf Windows Server 2012 oder höher
+ Eine Webanwendung, die auf IIS ausgeführt wird
+ Administratorzugriff auf den IIS-Server

## Architektur
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-architecture"></a>

**Quelltechnologie-Stack**
+ IIS-Webserver-Implementierung mit SSL, um sicherzustellen, dass Daten sicher in einer verschlüsselten Verbindung (HTTPS) übertragen werden 

**Quellarchitektur**

![\[Quellarchitektur für die Migration von Windows-SSL-Zertifikaten zu Application Load Balancer mithilfe von ACM\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/cad6e465-da39-4819-970e-10e1c30e0a1f/images/e63efb6f-205b-4e20-a043-6bc954470191.png)


**Zieltechnologie-Stack**
+ ACM-Zertifikate in Ihrem AWS-Konto
+ Ein Application Load Balancer, der für die Verwendung importierter Zertifikate konfiguriert ist
+ Windows Server-Instanzen in den privaten Subnetzen

**Zielarchitektur**

![\[Zielarchitektur für die Migration von Windows-SSL-Zertifikaten zu Application Load Balancer mithilfe von ACM\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/cad6e465-da39-4819-970e-10e1c30e0a1f/images/45ac7fba-fbad-4c74-9b1f-80ca212dae08.png)


 

## Tools
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-tools"></a>
+ [AWS Certificate Manager (ACM)](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) unterstützt Sie bei der Erstellung, Speicherung und Erneuerung öffentlicher und privater SSL/TLS X.509-Zertifikate und -Schlüssel, die Ihre AWS-Websites und -Anwendungen schützen.
+ [Elastic Load Balancing (ELB)](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) verteilt eingehenden Anwendungs- oder Netzwerkverkehr auf mehrere Ziele. Sie können beispielsweise den Datenverkehr auf EC2 Instances, Container und IP-Adressen in einer oder mehreren Availability Zones verteilen.

## Best Practices
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-best-practices"></a>
+ Erzwingen Sie Verkehrsumleitungen von HTTP zu HTTPS.
+ Konfigurieren Sie Sicherheitsgruppen für Ihren Application Load Balancer ordnungsgemäß, um eingehenden Datenverkehr nur zu bestimmten Ports zuzulassen.
+ Starten Sie Ihre EC2 Instances in verschiedenen Availability Zones, um eine hohe Verfügbarkeit sicherzustellen.
+ Konfigurieren Sie die Domain Ihrer Anwendung so, dass sie auf den DNS-Namen des Application Load Balancers statt auf dessen IP-Adresse verweist.
+ [Stellen Sie sicher, dass für den Application Load Balancer Integritätsprüfungen auf Anwendungsebene konfiguriert sind.](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html)
+ Konfigurieren Sie den Schwellenwert für Integritätsprüfungen.
+ Verwenden Sie [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/), um den Application Load Balancer zu überwachen.

## Epen
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-epics"></a>

### Exportieren Sie eine PFX-Datei
<a name="export-a-pfx-file"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Exportieren Sie die PFX-Datei von Windows Server. | So exportieren Sie das SSL-Zertifikat als PFX-Datei aus dem lokalen IIS-Manager in Windows Server:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html)Ihre PFX-Datei sollte jetzt an dem von Ihnen angegebenen Speicherort und Pfad gespeichert werden. | Systemadministrator | 

### Konvertieren Sie das PFX-kodierte Zertifikat in das PEM-Format
<a name="convert-the-pfx-encoded-certificate-to-pem-format"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Laden Sie das OpenSSL-Toolkit herunter und installieren Sie es. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html) | Systemadministrator | 
| Konvertieren Sie das PFX-kodierte Zertifikat in das PEM-Format. | Mit den folgenden Schritten wird die PFX-kodierte, signierte Zertifikatsdatei in drei Dateien im PEM-Format konvertiert:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html)Um das PFX-kodierte Zertifikat zu konvertieren:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html) | Systemadministrator | 

### Importieren Sie ein Zertifikat in ACM
<a name="import-a-certificate-into-acm"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Bereiten Sie den Import des Zertifikats vor. | Wählen Sie in der [ACM-Konsole](https://console.aws.amazon.com/acm/home) die Option **Zertifikat importieren** aus. | Cloud-Administrator | 
| Geben Sie die Zertifizierungsstelle an. | Fügen Sie in das **Feld Zertifikatshauptteil** das PEM-kodierte Zertifikat ein, das Sie importieren möchten. Weitere Informationen zu den Befehlen und Schritten, die in diesem und anderen Aufgaben in diesem Epos beschrieben werden, finden Sie in der [ACM-Dokumentation unter Importieren eines Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html). | Cloud-Administrator | 
| Geben Sie den privaten Schlüssel des Zertifikats an. | Fügen Sie für **Certificate private key** den PEM-kodierten, unverschlüsselten privaten Schlüssel ein, der mit dem öffentlichen Schlüssel des Zertifikats übereinstimmt. | Cloud-Administrator | 
| Geben Sie die Zertifikatskette an. | Fügen Sie für **Certificate chain** die PEM-kodierte Zertifikatskette ein, die in der Datei gespeichert ist. `CertificateChain.pem` | Cloud-Administrator | 
| Importieren Sie das Zertifikat. | Wählen Sie **Review and import**. Vergewissern Sie sich, dass die Informationen zu Ihrem Zertifikat korrekt sind, und wählen Sie dann **Import** aus. | Cloud-Administrator | 

### Erstellen eines Application Load Balancers
<a name="create-an-application-load-balancer"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Erstellen und konfigurieren Sie den Load Balancer und die Listener. | Folgen Sie den Anweisungen in der [Elastic Load Balancing Balancing-Dokumentation](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html), um eine Zielgruppe zu konfigurieren, Ziele zu registrieren und einen Application Load Balancer und Listener zu erstellen. Fügen Sie einen zweiten Listener (HTTPS) für Port 443 hinzu. | Cloud-Administrator | 

## Fehlerbehebung
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-troubleshooting"></a>


| Problem | Lösung | 
| --- | --- | 
| Windows PowerShell erkennt den OpenSSL-Befehl nicht, auch wenn Sie ihn dem Systempfad hinzugefügt haben. | Stellen Sie `$env:path` sicher, dass es den Speicherort der OpenSSL-Binärdateien enthält.Ist dies nicht der Fall, führen Sie den folgenden Befehl in aus: PowerShell<pre>$env:path = $env:path + ";C:\OpenSSL-Win64\bin"</pre> | 

## Zugehörige Ressourcen
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-resources"></a>

**Ein Zertifikat in ACM importieren**
+ [ACM-Konsole](https://console.aws.amazon.com/acm/home)
+ [Zertifikat und Schlüsselformat für den Import](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-format.html)
+ [Ein Zertifikat importieren](https://aws.amazon.com/blogs/security/how-to-import-pfx-formatted-certificates-into-aws-certificate-manager-using-openssl/)
+ [AWS Certificate Manager Manager-Benutzerhandbuch](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)

**Einen Application Load Balancer erstellen**
+ [Erstellen Sie einen Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html)
+ [Application Load Balancer Balancer-Benutzerhandbuch](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)