Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Was ist AWS Private CA?
AWS Private CA ermöglicht die Erstellung von Hierarchien privater Zertifizierungsstellen (CA), einschließlich Stamm- und untergeordneter Zertifizierungsstellen CAs, ohne dass die Investitions- und Wartungskosten für den Betrieb einer lokalen Zertifizierungsstelle anfallen. Ihre private Firma CAs kann X.509-Zertifikate für Endeinheiten ausstellen, die unter anderem in folgenden Szenarien nützlich sind:
+ Erstellen verschlüsselter TLS-Kommunikationskanäle
+ Authentifizieren von Benutzern, Computern, API-Endpunkten und IoT-Geräten
+ Kryptografische Code-Signatur
+ Implementieren des Online Certificate Status Protocol (OCSP) zum Abrufen des Zertifikatswiderrufungsstatus
AWS Private CA Auf Operationen kann über die AWS-Managementkonsole, über die AWS Private CA API oder über die zugegriffen werden. AWS CLI
**Topics**
+ [Regionale Verfügbarkeit für AWS Private Certificate Authority](#PcaRegions)
+ [Dienste integriert mit AWS Private Certificate Authority](#PcaIntegratedServices)
+ [Unterstützte kryptografische Algorithmen in AWS Private Certificate Authority](#supported-algorithms)
+ [RFC 5280-Konformität in AWS Private Certificate Authority](#RFC-compliance)
+ [Preisgestaltung für AWS Private Certificate Authority](#PcaPricing)
+ [Begriffe und Konzepte für AWS Private CA](PcaTerms.md)
## Regionale Verfügbarkeit für AWS Private Certificate Authority
Wie bei den meisten AWS Ressourcen handelt es sich auch bei privaten Zertifizierungsstellen (CAs) um regionale Ressourcen. Um private CAs in mehr als einer Region verwenden zu können, müssen Sie Ihre CAs in diesen Regionen erstellen. Private Daten können nicht CAs zwischen Regionen kopiert werden. Besuchen Sie [AWS Regionen und -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region) in der *Allgemeine AWS-Referenz* oder die[Tabelle der AWS -Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/), um mehr über die regionale Verfügbarkeit für AWS Private CA zu erfahren.
**Anmerkung**
ACM ist derzeit in einigen Regionen verfügbar, in denen dies nicht der AWS Private CA Fall ist.
## Dienste integriert mit AWS Private Certificate Authority
Wenn Sie AWS Certificate Manager ein privates Zertifikat anfordern, können Sie dieses Zertifikat mit jedem Dienst verknüpfen, der in ACM integriert ist. Dies gilt sowohl für Zertifikate, die mit einem AWS Private CA Stamm verkettet sind, als auch für Zertifikate, die mit einem externen Stamm verkettet sind. Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter [Integrierte Dienste](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html).
Sie können Private auch CAs in Amazon Elastic Kubernetes Service integrieren, um die Ausstellung von Zertifikaten innerhalb eines Kubernetes-Clusters zu ermöglichen. Weitere Informationen finden Sie unter [Kubernetes sichern mit AWS Private Certificate Authority](PcaKubernetes.md).
**Anmerkung**
Amazon Elastic Kubernetes Service ist kein integrierter ACM-Service.
Wenn Sie die AWS Private CA API verwenden, ein Zertifikat AWS CLI ausstellen oder ein privates Zertifikat aus ACM exportieren, können Sie das Zertifikat an einem beliebigen Ort installieren.
## Unterstützte kryptografische Algorithmen in AWS Private Certificate Authority
AWS Private CA unterstützt die folgenden kryptografischen Algorithmen für die Generierung privater Schlüssel und das Signieren von Zertifikaten.
**Unterstützter Algorithmus**
| Algorithmen mit privaten Schlüsseln | Signaturalgorithmen |
| --- | --- |
| ML\_DSA\_44
ML\_DSA\_65
ML\_DSA\_87
RSA\_2048
RSA\_3072
RSA\_4096
EC\_Prime256V1
EC\_SECP384R1
EC\_SECP521R1
SM2 (nur Regionen China) | ML\_DSA\_44
ML\_DSA\_65
ML\_DSA\_87
SHA256MIT RSASHA384MIT RSA
SHA512MIT RSA
SHA256MIT ECDSA
SHA384MIT ECDSA
SHA512MIT ECDSA
SM3WITHSM2 |
Diese Liste gilt nur für Zertifikate, die direkt AWS Private CA über die Konsole, API oder Befehlszeile ausgestellt wurden. Wenn AWS Certificate Manager Zertifikate mithilfe einer Zertifizierungsstelle von ausgestellt werden AWS Private CA, werden einige, aber nicht alle dieser Algorithmen unterstützt. Weitere Informationen finden Sie unter [Anfordern eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) im AWS Certificate Manager Benutzerhandbuch.
**Anmerkung**
Für RSA oder ECDSA muss die angegebene Signaturalgorithmusfamilie mit der Schlüsselalgorithmusfamilie des privaten Schlüssels der CA übereinstimmen.
Für ML-DSA ist die Hash-Funktion als Teil des Algorithmus selbst definiert. Bei ML-DSA gibt es keine Möglichkeit, eine andere Hash-Funktion auszuwählen. Um die Abwärtskompatibilität mit dem aufrechtzuerhalten APIs, wird derselbe Wert für den Schlüsselalgorithmus und den Signaturalgorithmus verwendet.
## RFC 5280-Konformität in AWS Private Certificate Authority
AWS Private CA [erzwingt bestimmte in RFC 5280 definierte Einschränkungen nicht.](https://datatracker.ietf.org/doc/html/rfc5280) Umgekehrt gilt dies auch: Bestimmte zusätzliche Einschränkungen, die für eine private Zertifizierungsstelle geeignet sind, werden erzwungen.
**Erzwungen**
+ [Not After date](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5) (Nicht-nach-Datum). Gemäß [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) verhindert AWS Private CA die Ausstellung von Zertifikaten, deren `Not After`-Datum später als das `Not After`-Datum des Zertifikats der ausstellenden CA ist.
+ [Grundlegende Einschränkungen](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9). AWS Private CA erzwingt grundlegende Einschränkungen und die Pfadlänge in importierten CA-Zertifikaten.
Grundlegende Einschränkungen geben an, ob es sich bei der durch das Zertifikat identifizierten Ressource um eine Zertifizierungsstelle handelt und ob diese Zertifikate ausstellen kann. In AWS Private CA importierte CA-Zertifikate müssen die Erweiterung für grundlegende Einschränkungen enthalten, und die Erweiterung muss markiert sein `critical`. Zusätzlich zum `critical` Flag `CA=true` muss es gesetzt werden. AWS Private CA erzwingt grundlegende Einschränkungen, indem eine Validierungsausnahme aus den folgenden Gründen fehlschlägt:
+ Die Erweiterung ist nicht im CA-Zertifikat enthalten.
+ Die Erweiterung ist nicht markiert `critical`.
Die Pfadlänge ([pathLenConstraint](PcaTerms.md#terms-pathlength)) bestimmt, wie viele untergeordnete Objekte hinter dem importierten CA-Zertifikat existieren CAs können. AWS Private CA erzwingt die Pfadlänge, indem es aus den folgenden Gründen mit einer Validierungsausnahme fehlschlägt:
+ Das Importieren eines CA-Zertifikats würde die Pfadlängenbeschränkung im CA-Zertifikat oder in einem anderen CA-Zertifikat in der Kette verletzen.
+ Das Ausstellen eines Zertifikats würde eine Pfadlängenbeschränkung verletzen.
+ [Namenseinschränkungen](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) geben einen Namensraum an, in dem sich alle Antragstellernamen in nachfolgenden Zertifikaten in einem Zertifizierungspfad befinden müssen. Einschränkungen gelten für den eindeutigen Namen des Antragstellers und für alternative Namen des Antragstellers.
**Nicht erzwungen**
+ [Zertifikatsrichtlinien](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4). Zertifikatsrichtlinien regeln die Bedingungen, unter denen eine Zertifizierungsstelle Zertifikate ausstellt.
+ [Blockieren Sie AnyPolicy](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14). Wird in Zertifikaten verwendet, die ausgestellt wurden für. CAs
+ [Alternativer Name des Ausstellers](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7). Ermöglicht die Zuordnung zusätzlicher Identitäten zum Aussteller des CA-Zertifikats.
+ [Politische Einschränkungen](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11). Diese Einschränkungen begrenzen die Kapazität einer Zertifizierungsstelle zum Ausstellen untergeordneter CA-Zertifikate.
+ [Zuordnungen von Richtlinien](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5). Wird in CA-Zertifikaten verwendet. Listet ein oder mehrere Paare von auf OIDs; jedes Paar enthält ein issuerDomainPolicy und subjectDomainPolicy a.
+ [Attribute des Betreffverzeichnisses](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8). Wird verwendet, um Identifikationsattribute des Betreffs zu vermitteln.
+ [Zugriff auf Informationen zum Fachgebiet](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2). So greifen Sie auf Informationen und Dienste für den Betreff des Zertifikats zu, in dem die Erweiterung enthalten ist.
+ [Subject Key Identifier (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) und [Authority Key Identifier (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1). Das RFC benötigt ein CA-Zertifikat, um die SKI-Erweiterung zu enthalten. Von der Zertifizierungsstelle ausgestellte Zertifikate müssen eine AKI-Erweiterung enthalten, die der SKI des CA-Zertifikats entspricht. AWS erzwingt diese Anforderungen nicht. Wenn Ihr CA-Zertifikat keinen SKI enthält, ist das ausgestellte Endentitäts- oder das untergeordnete CA-Zertifikat stattdessen der SHA-1-Hash des öffentlichen Schlüssels des Ausstellers.
+ [SubjectPublicKeyInfo](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1)und [Alternativer Betreffname (SAN)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6). Beim Ausstellen eines Zertifikats werden die Erweiterungen SubjectPublicKeyInfo und die SAN-Erweiterungen aus der bereitgestellten CSR AWS Private CA kopiert, ohne eine Überprüfung durchzuführen.
## Preisgestaltung für AWS Private Certificate Authority
Ihrem Konto wird ab dem Zeitpunkt, zu dem Sie sie erstellen, ein monatlicher Preis für jede private CA in Rechnung gestellt. Zudem wird Ihnen für jedes ausgestellte Zertifikat eine Gebühr berechnet. Diese Gebühr beinhaltet Zertifikate, die Sie aus ACM exportieren, und Zertifikate, die Sie über die AWS Private CA API oder AWS Private CA CLI erstellen. Für eine private CA wird nichts mehr berechnet, nachdem sie gelöscht wurde. Wenn Sie aber eine gelöschte CA wiederherstellen, bezahlen Sie für die Zeit zwischen Löschung und Wiederherstellung. Private Zertifikate, auf deren privaten Schlüssel Sie nicht zugreifen können, sind kostenlos. Dazu gehören Zertifikate, die mit [integrierten Diensten](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) wie Elastic Load Balancing und API Gateway verwendet werden. CloudFront
Die neuesten AWS Private CA Preisinformationen finden Sie unter [AWS Private Certificate Authority Preise](https://aws.amazon.com/private-ca/pricing/). Sie können auch den [AWS Preisrechner](https://calculator.aws/#/createCalculator/certificateManager) verwenden, um die Kosten zu schätzen.