Alle Bereitstellungsanleitungen Bereitstellung

SSL-Zertifikate auf AWS (ACM, EC2, ALB, CloudFront)

AWS bietet mehrere Möglichkeiten, HTTPS hinzuzufügen, abhängig von Ihrer Architektur. Der richtige Ansatz hängt davon ab, ob Sie einen Load Balancer, CloudFront oder eine eigenständige EC2-Instanz verwenden.

Entscheidungsbaum

Verwenden Sie einen ALB, NLB oder CloudFront?
├── Ja → AWS Certificate Manager (ACM) verwenden — kostenlos, automatische Erneuerung
└── Nein (eigenständige EC2)?
    ├── Können Sie Certbot installieren? → Certbot auf EC2 (automatische Erneuerung)
    └── Kein Root / schnelle Einrichtung? → GetHTTPS → manuelle Installation auf EC2

Option 1: AWS Certificate Manager (ACM) — für Load Balancer & CloudFront

ACM bietet kostenlose SSL-Zertifikate mit automatischer Erneuerung. Sie funktionieren nur mit AWS-Diensten (ALB, NLB, CloudFront, API Gateway) — der private Schlüssel kann nicht heruntergeladen werden.

Zertifikat anfordern

  1. Öffnen Sie AWS Certificate Manager in der Konsole
  2. Klicken Sie auf Zertifikat anfordernÖffentliches Zertifikat anfordern
  3. Geben Sie Ihre Domain(s) ein: example.com, *.example.com
  4. Wählen Sie die Validierung: DNS-Validierung (empfohlen) oder E-Mail
  5. Klicken Sie auf Anfordern

DNS-Validierung

ACM gibt Ihnen einen CNAME-Eintrag, den Sie zu Ihrem DNS hinzufügen:

  • Name: _xxxx.example.com
  • Wert: _yyyy.acm-validations.aws

Wenn Ihr DNS in Route 53 liegt, klicken Sie auf “Einträge in Route 53 erstellen” — ACM fügt ihn automatisch hinzu.

An ALB anhängen

  1. Gehen Sie zu EC2 → Load Balancers → wählen Sie Ihren ALB
  2. Reiter Listeners → Listener hinzufügen (oder bestehenden bearbeiten)
  3. Protokoll: HTTPS, Port: 443
  4. Standardaktion: An Ihre Zielgruppe weiterleiten
  5. Standard-SSL/TLS-Zertifikat: wählen Sie Ihr ACM-Zertifikat
  6. Speichern

An CloudFront anhängen

  1. Gehen Sie zu CloudFront → wählen Sie Ihre Distribution
  2. Reiter AllgemeinBearbeiten
  3. Benutzerdefiniertes SSL-Zertifikat: wählen Sie Ihr ACM-Zertifikat (muss in us-east-1 sein)
  4. Speichern

Option 2: Let’s Encrypt auf EC2 (eigenständige Instanzen)

Wenn Sie eine einzelne EC2-Instanz ohne Load Balancer betreiben, installieren Sie das Zertifikat direkt auf dem Server.

Mit GetHTTPS (keine Installation erforderlich)

  1. Holen Sie sich ein Zertifikat von GetHTTPS
  2. Laden Sie die Dateien auf Ihre EC2-Instanz hoch:
    scp fullchain.pem privkey.pem ec2-user@your-ec2-ip:/etc/ssl/
  3. Konfigurieren Sie Nginx oder Apache auf der Instanz

Mit Certbot (automatische Erneuerung)

# Amazon Linux 2023
sudo dnf install certbot python3-certbot-nginx
sudo certbot --nginx -d example.com

# Ubuntu auf EC2
sudo snap install --classic certbot
sudo certbot --nginx -d example.com

Certbot richtet die automatische Erneuerung automatisch ein.

ACM vs Let’s Encrypt auf AWS

ACMLet’s Encrypt (GetHTTPS/Certbot)
KostenKostenlosKostenlos
Funktioniert mit ALB/CloudFront❌ (LE kann nicht einfach in ACM importiert werden)
Funktioniert direkt auf EC2
Automatische Erneuerung✅ (AWS-verwaltet)✅ (Certbot) oder manuell (GetHTTPS)
Zugriff auf privaten Schlüssel❌ (AWS verwahrt ihn)✅ (Sie haben ihn)
Wildcard
Nicht-AWS-Nutzung✅ (portabel)

Faustregel: Verwenden Sie ACM für alles hinter einem ALB oder CloudFront. Verwenden Sie Let’s Encrypt für eigenständige EC2-Instanzen.

Security-Group-Konfiguration

Stellen Sie sicher, dass Ihre EC2- oder ALB-Security-Group eingehenden Traffic auf den Ports 80 und 443 erlaubt:

Typ         Protokoll  Port  Quelle
HTTP        TCP        80    0.0.0.0/0
HTTPS       TCP        443   0.0.0.0/0

Port 80 wird für HTTP→HTTPS-Weiterleitungen und für Let’s Encrypt HTTP-01-Challenges benötigt.

Häufig gestellte Fragen

Kann ich ACM-Zertifikate direkt auf EC2 verwenden?

Nein. ACM-Zertifikate können nur an AWS-verwaltete Dienste (ALB, NLB, CloudFront, API Gateway) angehängt werden. Der private Schlüssel kann nicht exportiert werden. Für eigenständige EC2 verwenden Sie GetHTTPS oder Certbot.

Kann ich ein Let’s Encrypt-Zertifikat in ACM importieren?

Technisch ja (aws acm import-certificate), aber es wird nicht automatisch über ACM erneuert. Sie müssten alle 90 Tage erneut importieren. Es ist einfacher, ACMs native Zertifikate für AWS-Dienste und Let’s Encrypt für EC2 zu verwenden.

Welche AWS-Region für ACM-Zertifikate?

Für ALB/NLB: Fordern Sie das Zertifikat in derselben Region wie Ihren Load Balancer an. Für CloudFront: Das Zertifikat muss in us-east-1 (N. Virginia) sein, unabhängig davon, wo sich Ihr Origin befindet.

Ist ACM wirklich kostenlos?

Ja. Öffentliche SSL/TLS-Zertifikate von ACM sind kostenlos. Es gibt keine Gebühren pro Zertifikat und keine Gebühren für die Erneuerung. Sie zahlen nur für die AWS-Ressourcen, die das Zertifikat verwenden (ALB, CloudFront usw.).

Wie handhabe ich SSL für einen ECS/Fargate-Service?

Stellen Sie einen ALB vor Ihren ECS-Service und hängen Sie ein ACM-Zertifikat an den ALB-Listener an. Der ALB terminiert TLS und leitet HTTP an Ihre Container weiter. Dies ist das Standardmuster für ECS.

Wie handhabe ich SSL für eine statische S3-Website?

S3-Static-Website-Hosting unterstützt keine benutzerdefinierten SSL-Zertifikate direkt. Stellen Sie CloudFront vor S3 und hängen Sie ein ACM-Zertifikat (aus us-east-1) an die CloudFront-Distribution an.

Was ist mit API Gateway?

AWS API Gateway enthält standardmäßig kostenloses SSL unter *.execute-api.region.amazonaws.com. Für eine benutzerdefinierte Domain (z. B. api.example.com) erstellen Sie ein ACM-Zertifikat und konfigurieren Sie einen benutzerdefinierten Domainnamen in API Gateway.

Sollte ich ACM oder GetHTTPS auf AWS verwenden?

SzenarioVerwenden
ALB / NLB / CloudFrontACM — kostenlos, automatische Erneuerung, native Integration
Eigenständige EC2GetHTTPS oder Certbot — ACM kann keine Schlüssel zu EC2 exportieren
EC2 hinter ALBACM auf ALB — EC2 benötigt kein eigenes Zertifikat
ECS / FargateACM auf ALB — Standardmuster
LightsailLightsail integriert — enthält kostenloses Let’s Encrypt

Wenn Sie auf reinem EC2 ohne Load Balancer sind, ist GetHTTPS der schnellste Weg, ein Zertifikat zu erhalten — kein AWS CLI erforderlich.

Verwandte Artikel

Erste Schritte 2026-05-08
Kostenloses SSL-Zertifikat erhalten (Schritt-für-Schritt-Anleitung)
Erhalten Sie ein kostenloses SSL-Zertifikat von Let's Encrypt in 5 Minuten — keine Software-Installation, kein Konto erforderlich. Vollständige Anleitung mit 4 Methoden, beiden Challenge-Typen, Installation auf 6 Plattformen und Fehlerbehebung.
Bereitstellung 2026-05-08
So installieren Sie ein SSL-Zertifikat auf Nginx
Schritt-für-Schritt-Anleitung zur Installation eines SSL-Zertifikats auf Nginx. Behandelt Dateiupload, vollständige Serverblock-Konfiguration, TLS Best Practices, HTTP/2, HSTS, Weiterleitungs-Setup, Tests und Fehlerbehebung für 6 häufige Fehler.
Bereitstellung 2026-05-08
SSL-Zertifikate mit Docker und Reverse Proxies
Konfigurieren Sie HTTPS für Docker-Container mit Nginx Reverse Proxy, Traefik mit automatischem Let's Encrypt oder manueller Zertifikatsmontage.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten