Über den Einsatz von Cookies auf dieser Website Unsere Websites benötigen einige Cookies, um ordnungsgemäß zu funktionieren (erforderlich). Darüber hinaus können mit Ihrer Zustimmung weitere Cookies verwendet werden, um die Nutzung der Website zu analysieren, die Benutzerfreundlichkeit zu verbessern und Werbung zu schalten. Weitere Informationen finden Sie in Ihren. Durch den Besuch unserer Website erklären Sie sich mit der Verarbeitung von Informationen einverstanden, wie in der IBMDatenschutzbestimmung beschrieben. Um eine reibungslose Navigation zu ermöglichen, werden Ihre Cookie-Präferenzen über die hier aufgeführten IBM Web-Domains hinweg gemeinsam genutzt.
Edge-Zertifikate verwalten
Edge-Zertifikate sind TLS-Zertifikate, die Benutzern vorgelegt werden, wenn sie über HTTPS auf Ihre Domain zugreifen. Diese Zertifikate sichern die Verbindung zwischen dem Browser und dem IBM Cloud® Internet Services Edge-Netzwerk. CIS bietet drei Arten von Edge-Zertifikaten: Universal, Erweitert und Benutzerdefiniert.
Universelle Zertifikate
Standardmäßig gibt CIS kostenlose, nicht gemeinsam genutzte, öffentlich vertrauenswürdige SSL-Zertifikate für alle Domänen aus, die auf CIShinzugefügt wurden. Für diese universellen Zertifikate steuert CIS die Gültigkeitszeiträume und Zertifizierungsstellen (CAs) und stellt sicher, dass Verlängerungen immer stattfinden. Universelle Zertifikate, die von Let's Encrypt oder Google Trust Services ausgestellt werden, haben eine Gültigkeitsdauer von 90 Tagen.
CIS kann die Zertifizierungsstelle von Universal-Zertifikaten ohne vorherige Ankündigung ändern und informiert Sie über diese Änderungen. Wenn Sie es vorziehen, Ihre eigene ausstellende Zertifizierungsstelle zu wählen, bestellen Sie ein erweitertes Zertifikat.
Um die Einstellungen für das Universalzertifikat über die API zu ändern, siehe Universalzertifikat aktivieren oder deaktivieren. Beachten Sie, dass dieses Zertifikat standardmäßig aktiviert ist und aktiviert bleiben muss, sofern nicht bereits ein anderes gültiges Zertifikat konfiguriert ist.
Erweiterte Zertifikate
Erweiterte Zertifikate bieten eine flexible und anpassbare Möglichkeit zum Ausstellen und Verwalten von Zertifikaten. Verwenden Sie erweiterte Zertifikate, wenn Sie etwas Anpassungsfähigeres als Universal SSL wünschen, aber dennoch den Komfort der Ausstellung und Verlängerung von SSL-Zertifikaten wünschen.
Der Unterschied zwischen den beiden besteht darin, dass universelle Zertifikate automatisch von CIS mit einer festen Gültigkeitsdauer von 90 Tagen und automatisch ausgewählten Zertifizierungsstellen ausgestellt werden. Bei erweiterten Zertifikaten können Sie jedoch die Zertifizierungsstelle wählen, verschiedene Gültigkeitszeiträume wie 14, 30, 90 oder sogar 365 Tage auswählen und den Beginn der Erneuerung konfigurieren. Erweiterte Zertifikate unterstützen auch eine bessere Kontrolle über die Domänenvalidierung und eignen sich besser für Umgebungen, die die Einhaltung von Vorschriften, strengere Sicherheitsrichtlinien oder die Integration in automatisierte Arbeitsabläufe erfordern.
Erweiterte Zertifikate werden direkt über CISbestellt.
Gültigkeitsdauer und Verlängerungszeiträume für allgemeine und fortgeschrittene Bescheinigungen
Universelle Zertifikate sind immer 90 Tage gültig und werden automatisch 30 Tage vor Ablauf verlängert.
Bei der Verwendung von erweiterten Zertifikaten können Sie die Gültigkeits- und automatischen Verlängerungsdaten wie in der folgenden Tabelle dargestellt auswählen.
| Gültigkeitszeitraum des Zertifikats | Zeitraum für automatische Verlängerung | Details zu |
|---|---|---|
| 3 Monaten | 30 Tage | |
| 1 Monat | 7 Tage | Nicht unterstützt von Let's Encrypt |
| 2 Wochen | 30 Tage | Nicht unterstützt von Let's Encrypt |
Verlängerungsperioden werden am Back-End automatisiert und können nicht angepasst werden.
Backup-Zertifikate
Wenn CIS autorisierende DNS für Ihre Domain bereitstellt, stellt CIS ein Backup Universal SSL-Zertifikat für jedes ausgestellte Standard-Universal-Zertifikat aus.
Backup-Zertifikate sind mit einem anderen privaten Schlüssel umhüllt und von einer anderen Zertifizierungsstelle ausgestellt. Diese Zertifikate werden zum Beispiel von Google Trust Services, Let's Encrypt, Sectigo oder SSL.com anstelle des primären Universal SSL-Zertifikats Ihrer Domain ausgestellt.
Diese Backup-Zertifikate werden normalerweise nicht eingesetzt, aber sie werden automatisch von CIS eingesetzt, wenn ein Zertifikat widerrufen wird oder ein Schlüssel kompromittiert wird.
Angepasste Zertifikate
Angepasste Zertifikate sind für Kunden bestimmt, die ihre eigenen SSL-Zertifikate verwenden wollen. Sie laden diese Zertifikate in CIShoch.
Im Gegensatz zu universellen oder erweiterten Zertifikaten verwaltet CIS nicht die Ausstellung oder Erneuerung von benutzerdefinierten Zertifikaten. Sie sind für das Hochladen, Aktualisieren und Verfolgen der Ablaufdaten Ihrer angepassten Zertifikate verantwortlich.
Die Anzahl der Zertifikate, die Sie verwenden können, hängt von Ihrem Plan ab. Weitere Informationen finden Sie unter CIS im Vergleich der Tarife. Wenn Sie mehr benötigen, reichen Sie einen Support-Fall ein. Siehe Supportfälle erstellen
Versäumnis der Zertifikatserneuerung und Ersatz
Bei Zertifikaten, die von CISverwaltet werden, beginnen Erneuerungsversuche mit dem Zeitraum für die automatische Verlängerung und werden bis 24 Stunden vor Ablauf fortgesetzt. Wenn ein Zertifikat nicht verlängert werden kann und ein weiteres gültiges Zertifikat für den Hostnamen vorhanden ist, stellt CIS das gültige Zertifikat innerhalb dieser letzten 24 Stunden bereit.
CAA-Aufzeichnungen
A DNS-Eintrag für die Zertifizierungsstelle(CAA) gibt an, welche Zertifizierungsstellen (CAs) Zertifikate für eine Domäne ausstellen dürfen. Dieser Datensatz verringert die Möglichkeit einer nicht autorisierten Zertifikatsausstellung und fördert die Standardisierung in Ihrem Unternehmen.
In der folgenden Tabelle sind die Inhalte der CAA-Datensätze für jede Zertifizierungsstelle aufgeführt:
| Zertifizierungsstelle | Inhalt des CAA-Datensatzes |
|---|---|
| Let's Encrypt | letsencrypt.org |
| Google Trust Services | pki.goog; cansignhttpexchanges=yes |
| SSL.com | ssl.com |
| DigiCert | digicert.com; cansignhttpexchanges=yes |
| Sectigo | sectigo.com |
Zertifikatsstatus
Jeder Zertifikatsstatus beschreibt Ihre aktuelle Position im Ausstellungsprozess und kann je nach Art des Zertifikats variieren.
Neue Zertifikatsstatus
Wenn Sie ein neues Zertifikat bestellen, unabhängig davon, ob es sich um ein Edge-Zertifikat oder ein Zertifikat für einen benutzerdefinierten Hostnamen handelt, durchläuft sein Status auf dem Weg zum globalen Netzwerk die folgenden Stufen.
- Wird initialisiert
- Anstehende Validierung
- Ausstehende Ausgabe
- Pending Deployment
- Aktiv
Nachdem Sie ein Zertifikat ausgestellt haben, wird es in den Status „Ausstehende Validierung“ verschoben und nach Abschluss der Validierung in „Aktiv“ geändert. Wenn Fehler auftreten, müssen Sie möglicherweise weitere Maßnahmen ergreifen, um das Zertifikat zu validieren.
Wenn Sie ein Zertifikat deaktivieren, wechselt es in den Status " Deaktiviert" und anschließend in den Status " Inaktiv".
Benutzerdefinierte Zertifikatstatus
Wenn Sie ein benutzerdefiniertes Zertifikat verwenden und Ihre Zone den Status Ausstehend oder Verschoben hat, hat Ihr Zertifikat möglicherweise den Status Bereitstellung wird gehalten.
Wenn Ihre Zone aktiv wird, wird Ihr benutzerdefiniertes Zertifikat automatisch bereitgestellt und erhält den Status „Aktiv“. Wenn Ihre Zone jedoch bereits aktiv ist, wenn Sie ein benutzerdefiniertes Zertifikat hochladen, wird dieser Status nicht angezeigt.