Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Zertifikate ausstellen und verwalten in AWS Private CA
<a name="PcaUsing"></a>

Nachdem Sie eine private Zertifizierungsstelle (CA) erstellt und aktiviert und den Zugriff darauf konfiguriert haben, können Sie oder Ihre autorisierten Benutzer Zertifikate ausstellen und verwalten. Wenn Sie noch keine AWS Identity and Access Management (IAM-) Richtlinien für die CA eingerichtet haben, erfahren Sie im Abschnitt [Identity and Access Management](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html) dieses Handbuchs mehr über deren Konfiguration. Informationen zur Konfiguration des CA-Zugriffs in Szenarien mit einem oder mehreren Konten finden Sie unter. [Steuern Sie den Zugriff auf die private CA](granting-ca-access.md)

**Topics**
+ [Stellen Sie private Endentitätszertifikate aus](PcaIssueCert.md)
+ [Rufen Sie ein privates Zertifikat ab](PcaGetCert.md)
+ [Private Zertifikate auflisten](PcaListCerts.md)
+ [Exportieren Sie ein privates Zertifikat und seinen geheimen Schlüssel](export-in-acm.md)
+ [Widerrufen Sie ein privates Zertifikat](PcaRevokeCert.md)
+ [Automatisieren Sie den Export eines erneuerten Zertifikats](auto-export.md)
+ [Verwenden Sie Zertifikatsvorlagen AWS Private CA](UsingTemplates.md)

# Stellen Sie private Endentitätszertifikate aus
<a name="PcaIssueCert"></a>

Wenn eine private Zertifizierungsstelle eingerichtet ist, können Sie private Endzertifikate entweder von AWS Certificate Manager (ACM) oder anfordern. AWS Private CA Die Funktionen beider Dienste werden in der folgenden Tabelle verglichen.


****  

|  Funktion  |  ACM  |  AWS Private CA  | 
| --- | --- | --- | 
|  Stellen Sie Zertifikate für Endunternehmen aus  |  ✓ (mit [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)oder der Konsole)  |  ✓ (verwenden [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html))  | 
|  Verbindung mit Load Balancern und mit dem Internet verbundenen Diensten AWS   |  ✓  |  Nicht unterstützt  | 
| Verwaltete Zertifikatserneuerung | ✓ | Indirekt durch ACM [unterstützt](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) | 
|  Konsolenunterstützung  |  ✓  |  Nicht unterstützt  | 
|  API-Unterstützung  |  ✓  |  ✓  | 
|  CLI-Unterstützung  |  ✓  |  ✓  | 

Bei der AWS Private CA Erstellung eines Zertifikats folgt es einer Vorlage, die den Zertifikatstyp und die Pfadlänge angibt. Wenn der API- oder CLI-Anweisung, die das Zertifikat erstellt, kein Vorlagen-ARN zur Verfügung gestellt wird, wird standardmäßig die Vorlage [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) angewendet. Weitere Informationen zu verfügbaren Zertifikatvorlagen finden Sie unter [Verwenden Sie Zertifikatsvorlagen AWS Private CA](UsingTemplates.md).

ACM-Zertifikate sind zwar auf öffentliches Vertrauen ausgelegt, erfüllen aber AWS Private CA die Anforderungen Ihrer privaten PKI. Folglich können Sie Zertifikate mithilfe der AWS Private CA API und CLI auf eine Weise konfigurieren, die von ACM nicht zugelassen wird. Diese umfassen u. a. folgende:
+ Erstellen eines Zertifikats mit einem beliebigen Betreffnamen.
+ Verwenden Sie einen der [unterstützten Algorithmen und Schlüssellängen für private Schlüssel](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Verwendung eines der [unterstützten Signaturalgorithmen](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Geben Sie einen beliebigen Gültigkeitszeitraum für Ihre private [CA](PcaCreateCa.html) und Ihre privaten [Zertifikate](PcaIssueCert.html) an.

Nachdem Sie ein privates TLS-Zertifikat mit erstellt haben AWS Private CA, können Sie es in ACM [importieren](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) und mit einem unterstützten AWS Dienst verwenden.

**Anmerkung**  
Zertifikate, die mit dem unten stehenden Verfahren, mit dem **issue-certificate** Befehl oder mit der [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API-Aktion erstellt wurden, können nicht direkt zur Verwendung nach außen AWS exportiert werden. Sie können jedoch Ihre private Zertifizierungsstelle verwenden, um über ACM ausgestellte Zertifikate zu signieren, und diese Zertifikate können zusammen mit ihren geheimen Schlüsseln exportiert werden. Weitere Informationen finden Sie unter [Anfordern eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) und [Exportieren eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) im *ACM-Benutzerhandbuch*.

## Stellen Sie ein Standardzertifikat aus ()AWS CLI
<a name="IssueCertCli"></a>

Sie können den AWS Private CA CLI-Befehl [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) oder die API-Aktion verwenden, um ein Entity-Zertifikat [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)anzufordern. Dieser Befehl erfordert den Amazon-Ressourcennamen (ARN) der privaten CA, die Sie zum Ausstellen des Zertifikats verwenden möchten. Sie müssen auch eine Certificate Signing Request (CSR) mit einem Programm wie [OpenSSL](https://www.openssl.org/) generieren.

Wenn Sie die AWS Private CA API verwenden oder AWS CLI ein privates Zertifikat ausstellen, wird das Zertifikat nicht verwaltet, was bedeutet, dass Sie es nicht mit der ACM-Konsole, der ACM-CLI oder der ACM-API anzeigen oder exportieren können, und das Zertifikat wird nicht automatisch erneuert. [Sie können jedoch den PCA-Befehl [get-certificate verwenden, um die Zertifikatsdetails](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) abzurufen, und wenn Sie Eigentümer der Zertifizierungsstelle sind, können Sie einen Prüfbericht erstellen.](PcaAuditReport.md)

**Überlegungen bei der Erstellung von Zertifikaten**
+ Gemäß [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) darf die Länge des von Ihnen angegebenen Domainnamens (technisch gesehen der allgemeine Name) 64 Byte (Zeichen), einschließlich Punkte, nicht überschreiten. Wenn Sie einen längeren Domainnamen hinzufügen möchten, geben Sie ihn im Feld Alternativer Betreffname an, das Namen mit einer Länge von bis zu 253 Pfund unterstützt. 
+ Wenn Sie AWS CLI Version 1.6.3 oder höher verwenden, verwenden Sie das Präfix `fileb://` bei der Angabe von Base64-kodierten Eingabedateien wie. CSRs Dadurch wird sichergestellt, dass die Daten korrekt AWS Private CA analysiert werden.

Der folgende OpenSSL-Befehl generiert eine CSR und einen privaten Schlüssel für ein Zertifikat:

```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```

Sie können den Inhalt der CSR wie folgt überprüfen:

```
$ openssl req -in csr.pem -text -noout
```

Die resultierende Ausgabe sollte dem folgenden abgekürzten Beispiel ähneln:

```
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Big Org, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
                    a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
                    00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
                    ...
                    aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
                    5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
                    9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
                    d3:63
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
         42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
         21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
         ....
         3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
         09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
         fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
         0b:53:e5:22
```

Mit dem folgenden Befehl wird ein Zertifikat erstellt. Da keine Vorlage angegeben ist, wird standardmäßig ein Basiszertifikat für die Endeinheit ausgestellt.

```
$ aws acm-pca issue-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --csr fileb://csr.pem \
      --signing-algorithm "SHA256WITHRSA" \
      --validity Value=365,Type="DAYS"
```

Der ARN des ausgestellten Zertifikats wird zurückgegeben:

```
{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```

**Anmerkung**  
AWS Private CA gibt sofort einen ARN mit einer Seriennummer zurück, wenn es den **issue-certificate** Befehl empfängt. Die Zertifikatsverarbeitung erfolgt jedoch asynchron und kann immer noch fehlschlagen. In diesem Fall schlägt auch ein **get-certificate** Befehl fehl, der den neuen ARN verwendet.

## Stellen Sie mithilfe einer APIPassthrough Vorlage ein Zertifikat mit einem benutzerdefinierten Betreffnamen aus
<a name="custom-subject-1"></a>

In diesem Beispiel wird ein Zertifikat ausgestellt, das benutzerdefinierte Elemente des Antragstellernamens enthält. Zusätzlich zur Angabe einer CSR wie der in [Stellen Sie ein Standardzertifikat aus ()AWS CLI](#IssueCertCli) übergeben Sie dem **issue-certificate** Befehl zwei zusätzliche Argumente: den ARN einer APIPassthrough Vorlage und eine JSON-Konfigurationsdatei, die die benutzerdefinierten Attribute und ihre Objektkennungen () OIDs spezifiziert. Sie können es nicht zusammen mit verwenden `StandardAttributes``CustomAttributes`. Sie können jedoch Standard OIDs als Teil von übergeben. `CustomAttributes` Die standardmäßigen Betreffnamen OIDs sind in der folgenden Tabelle aufgeführt (Informationen aus [RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) und der [globalen OID-Referenzdatenbank](https://oidref.com)):


|  Name des Betreffs  |  Abkürzung  |  Objekt-ID  | 
| --- | --- | --- | 
|  countryName  |  c  | 2.5.4.6 | 
|  commonName  |  cn  | 2.5.4.3 | 
|  DNQualifier [definierter Namenskennzeichner]  |    | 2.5.4.46 | 
|  Qualifikator für die Generierung  |    | 2.5.4.44 | 
|  givenName  |    | 2.5.4.42 | 
|  Initialen  |    | 2.5.4.43 | 
|  Lokalität  |  l  | 2.5.4.7 | 
|  organizationName  |  o  | 2.5.4.10 | 
|  organizationalUnitName  |  ou  | 2.5.4.11 | 
|  Pseudonym  |    | 2.5.4.65 | 
|  Seriennummer  |    | 2.5.4.5 | 
|  st [Bundesstaat]  |    | 2.5.4.8 | 
|  Nachname  |  sn  | 2.5.4.4 | 
|  Titel  |    | 2.5.4.12 | 
|  Domänenkomponente  |  dc  |  0.9.2342.19200300.100.1.25  | 
|  userid  |    |  0,9,2342,19200300.100.1.1  | 

Die Beispielkonfigurationsdatei enthält den folgenden Code: `api_passthrough_config.txt`

```
{
  "Subject": {
    "CustomAttributes": [
      {
        "ObjectIdentifier": "2.5.4.6",
        "Value": "US"
      },
      {
        "ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
        "Value": "BCDABCDA12341234"
      },
      {
        "ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
        "Value": "CDABCDAB12341234"
      }
    ]
  }
}
```

Verwenden Sie den folgenden Befehl, um das Zertifikat auszustellen:

```
$ aws acm-pca issue-certificate \
      --validity Type=DAYS,Value=10 
      --signing-algorithm "SHA256WITHRSA" \
      --csr fileb://csr.pem \
      --api-passthrough file://api_passthrough_config.txt \
      --template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```

Der ARN des ausgestellten Zertifikats wird zurückgegeben:

```
{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```

Rufen Sie das Zertifikat lokal wie folgt ab:

```
$ aws acm-pca get-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
      jq -r .'Certificate' > cert.pem
```

Sie können den Inhalt des Zertifikats mit OpenSSL überprüfen:

```
$ openssl x509 -in cert.pem -text -noout
```

**Anmerkung**  
Es ist auch möglich, eine private Zertifizierungsstelle zu erstellen, die benutzerdefinierte Attribute an jedes ausgestellte Zertifikat weitergibt.

## Stellen Sie mithilfe einer APIPassthrough Vorlage ein Zertifikat mit benutzerdefinierten Erweiterungen aus
<a name="custom-subject-2"></a>

In diesem Beispiel wird ein Zertifikat ausgestellt, das benutzerdefinierte Erweiterungen enthält. Dazu müssen Sie dem **issue-certificate** Befehl drei Argumente übergeben: den ARN einer APIPassthrough Vorlage und eine JSON-Konfigurationsdatei, die die benutzerdefinierten Erweiterungen spezifiziert, und eine CSR wie die in [Stellen Sie ein Standardzertifikat aus ()AWS CLI](#IssueCertCli) gezeigte. 

Die Beispielkonfigurationsdatei `api_passthrough_config.txt` enthält den folgenden Code:

```
{
  "Extensions": {
    "CustomExtensions": [
      {
        "ObjectIdentifier": "2.5.29.30",
        "Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
        "Critical": true
      }
    ]
  }
}
```

Das benutzerdefinierte Zertifikat wird wie folgt ausgestellt:

```
$ aws acm-pca issue-certificate \
      --validity Type=DAYS,Value=10 
      --signing-algorithm "SHA256WITHRSA" \
      --csr fileb://csr.pem \
      --api-passthrough file://api_passthrough_config.txt \
      --template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```

Der ARN des ausgestellten Zertifikats wird zurückgegeben:

```
{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```

Rufen Sie das Zertifikat lokal wie folgt ab:

```
$ aws acm-pca get-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
      jq -r .'Certificate' > cert.pem
```

Sie können den Inhalt des Zertifikats mit OpenSSL überprüfen:

```
$ openssl x509 -in cert.pem -text -noout
```

# Rufen Sie ein privates Zertifikat ab
<a name="PcaGetCert"></a>

Sie können die AWS Private CA API verwenden und AWS CLI ein privates Zertifikat ausstellen. Wenn Sie dies tun, können Sie die AWS Private CA API AWS CLI oder verwenden, um dieses Zertifikat abzurufen. Wenn Sie ACM verwendet haben, um Ihre private CA zu erstellen und Zertifikate anzufordern, müssen Sie ACM verwenden, um das Zertifikat und den verschlüsselten privaten Schlüssel zu exportieren. Weitere Informationen finden Sie unter [Exportieren eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html). 

**Um ein Endzertifizierungszertifikat abzurufen**  
Verwenden Sie den AWS CLI Befehl [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html), um ein privates Endentitätszertifikat abzurufen. Sie können auch den [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html)API-Vorgang verwenden. Wir empfehlen, die Ausgabe mit [jq, einem SED-ähnlichen Parser](https://stedolan.github.io/jq/), zu formatieren.

**Anmerkung**  
Wenn Sie ein Zertifikat widerrufen möchten, können Sie den Befehl **get-certificate** zum Abrufen der Seriennummer im Hexadezimalformat verwenden. Sie können auch einen Auditbericht zum Abrufen der Hex-Seriennummer erstellen. Weitere Informationen finden Sie unter [Verwenden Sie Prüfberichte mit Ihrer privaten Zertifizierungsstelle](PcaAuditReport.md). 

```
$ aws acm-pca get-certificate \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
      jq -r '.Certificate, .CertificateChain'
```

Dieser Befehl gibt das Zertifikat und die Zertifikatskette im folgenden Standardformat aus.

```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```

**Um ein CA-Zertifikat abzurufen**  
Sie können die AWS Private CA API verwenden und AWS CLI das Zertifikat der Zertifizierungsstelle (CA) für Ihre private CA abrufen. Führen Sie den Befehl [get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html) aus. Sie können auch die Operation [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) aufrufen. Wir empfehlen, die Ausgabe mit [jq, einem sed-ähnlichen Parser](https://stedolan.github.io/jq/), zu formatieren. 

```
$ aws acm-pca get-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     | jq -r '.Certificate'
```

Dieser Befehl gibt das CA-Zertifikat im folgenden Standardformat aus.

```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```

# Private Zertifikate auflisten
<a name="PcaListCerts"></a>

Um Ihre privaten Zertifikate aufzulisten, erstellen Sie einen Prüfbericht, rufen Sie ihn aus dem zugehörigen S3-Bucket ab und analysieren Sie den Berichtsinhalt nach Bedarf. Informationen zum Erstellen von AWS Private CA Auditberichten finden Sie unter[Verwenden Sie Prüfberichte mit Ihrer privaten Zertifizierungsstelle](PcaAuditReport.md). Informationen zum Abrufen eines Objekts aus einem S3-Bucket finden Sie unter [Objekt herunterladen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

Die folgenden Beispiele veranschaulichen Ansätze zur Erstellung von Prüfberichten und deren Analyse nach nützlichen Daten. Die Ergebnisse werden in JSON formatiert, und die Daten werden mit [jq, einem SED-ähnlichen Parser](https://stedolan.github.io/jq/), gefiltert.

**1. Erstellen Sie einen Prüfbericht.**  
Der folgende Befehl generiert einen Prüfbericht für eine angegebene Zertifizierungsstelle. 

```
$ aws acm-pca create-certificate-authority-audit-report \
     --region region \     
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     --s3-bucket-name bucket_name \
     --audit-report-response-format JSON
```

Bei Erfolg gibt der Befehl die ID und den Speicherort des neuen Prüfberichts zurück.

```
{
   "AuditReportId":"audit_report_ID",
   "S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```

**2. Rufen Sie einen Prüfbericht ab und formatieren Sie ihn.**  
Mit diesem Befehl wird ein Prüfbericht abgerufen, sein Inhalt in der Standardausgabe angezeigt und die Ergebnisse so gefiltert, dass nur Zertifikate angezeigt werden, die am oder nach dem 01.12.2020 ausgestellt wurden.

```
$ aws s3api get-object \
     --region region \
     --bucket bucket_name \
     --key audit-report/CA_ID/audit_report_ID.json \
     /dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```

Die zurückgegebenen Artikel ähneln den folgenden:

```
{
   "awsAccountId":"account",
   "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial":"serial_number",
   "subject":"CN=pca.alpha.root2.leaf5",
   "notBefore":"2020-12-21T21:28:09+0000",
   "notAfter":"9999-12-31T23:59:59+0000",
   "issuedAt":"2020-12-21T22:28:09+0000",
   "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**3. Speichern Sie einen Prüfbericht lokal.**  
Wenn Sie mehrere Abfragen durchführen möchten, ist es praktisch, einen Prüfbericht in einer lokalen Datei zu speichern.

```
$ aws s3api get-object \
     --region region \
     --bucket bucket_name \
     --key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```

Derselbe Filter wie zuvor liefert dieselbe Ausgabe:

```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
   "awsAccountId":"account",
   "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial":"serial_number",
   "subject":"CN=pca.alpha.root2.leaf5",
   "notBefore":"2020-12-21T21:28:09+0000",
   "notAfter":"9999-12-31T23:59:59+0000",
   "issuedAt":"2020-12-21T22:28:09+0000",
   "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**4. Abfrage innerhalb eines Datumsbereichs**  
Sie können wie folgt nach Zertifikaten abfragen, die innerhalb eines bestimmten Zeitraums ausgestellt wurden:

```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```

Der gefilterte Inhalt wird in der Standardausgabe angezeigt:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf1",
   "notBefore": "2020-11-06T19:18:21+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:18:22+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.rsa2048sha256",
   "notBefore": "2020-11-06T19:15:46+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:15:46+0000",
   "templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf2",
   "notBefore": "2020-11-06T20:04:39+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T21:04:39+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**5. Suchen Sie nach Zertifikaten, die einer bestimmten Vorlage folgen.**  
Der folgende Befehl filtert den Berichtsinhalt mithilfe eines Vorlagen-ARN:

```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```

In der Ausgabe werden übereinstimmende Zertifikatsdatensätze angezeigt:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.rsa2048sha256",
   "notBefore": "2020-11-06T19:15:46+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:15:46+0000",
   "templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```

**6. Filter nach widerrufenen Zertifikaten**  
Verwenden Sie den folgenden Befehl, um alle widerrufenen Zertifikate zu finden:

```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```

Ein gesperrtes Zertifikat wird wie folgt angezeigt:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf2",
   "notBefore": "2020-11-06T20:04:39+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T21:04:39+0000",
   "revokedAt": "2021-05-27T18:57:32+0000",
   "revocationReason": "UNSPECIFIED",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**7. Filtern Sie mithilfe eines regulären Ausdrucks.**  
Der folgende Befehl sucht nach Betreffnamen, die die Zeichenfolge „leaf“ enthalten:

```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```

Passende Zertifikatsdatensätze werden wie folgt zurückgegeben:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.roo2.leaf4",
   "notBefore": "2020-11-16T18:17:10+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-16T19:17:12+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf5",
   "notBefore": "2020-12-21T21:28:09+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-12-21T22:28:09+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf1",
   "notBefore": "2020-11-06T19:18:21+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:18:22+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

# Exportieren Sie ein privates Zertifikat und seinen geheimen Schlüssel
<a name="export-in-acm"></a>

AWS Private CA kann ein privates Zertifikat, das es signiert und ausgestellt hat, nicht direkt exportieren. Sie können es jedoch verwenden, AWS Certificate Manager um ein solches Zertifikat zusammen mit seinem verschlüsselten geheimen Schlüssel zu exportieren. Das Zertifikat ist dann vollständig portabel und kann überall in Ihrer privaten PKI eingesetzt werden. Weitere Informationen finden Sie im AWS Certificate Manager Benutzerhandbuch unter [Exportieren eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).

Als zusätzlichen Vorteil AWS Certificate Manager bietet es eine verwaltete Verlängerung für private Zertifikate, die mithilfe der ACM-Konsole, der `RequestCertificate` ACM-API oder des **request-certificate** Befehls im ACM-Abschnitt von ausgestellt wurden. AWS CLI Weitere Informationen zu Verlängerungen finden Sie unter [Erneuern von Zertifikaten](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html) in einer privaten PKI.

# Widerrufen Sie ein privates Zertifikat
<a name="PcaRevokeCert"></a>

Sie können ein AWS Private CA Zertifikat mit dem AWS CLI Befehl [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) oder der [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API-Aktion widerrufen. Ein Zertifikat muss möglicherweise vor seinem geplanten Ablauf gesperrt werden, wenn beispielsweise sein geheimer Schlüssel kompromittiert wurde oder die zugehörige Domain ungültig wird. Damit der Widerruf wirksam ist, muss der Client, der das Zertifikat verwendet, bei jedem Versuch, eine sichere Netzwerkverbindung aufzubauen, den Sperrstatus überprüfen können.

AWS Private CA bietet zwei vollständig verwaltete Mechanismen zur Unterstützung der Überprüfung des Sperrstatus: Online Certificate Status Protocol (OCSP) und Zertifikatssperrlisten (CRLs). Mit OCSP fragt der Client eine autoritative Sperrdatenbank ab, die in Echtzeit einen Status zurückgibt. Bei einer CRL überprüft der Client das Zertifikat anhand einer Liste widerrufener Zertifikate, die er regelmäßig herunterlädt und speichert. Clients lehnen es ab, gesperrte Zertifikate zu akzeptieren. 

Sowohl OCSP als auch sind von den in Zertifikaten eingebetteten Validierungsinformationen CRLs abhängig. Aus diesem Grund muss eine ausstellende Zertifizierungsstelle vor der Ausstellung so konfiguriert werden, dass sie einen oder beide dieser Mechanismen unterstützt. Informationen zur Auswahl und Implementierung der verwalteten Sperrung durch finden Sie AWS Private CA unter[Planen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten](revocation-setup.md).

Widerrufene Zertifikate werden immer in AWS Private CA Prüfberichten aufgezeichnet. 

**Anmerkung**  
Für kontoübergreifende Anrufer ist ein Share mit entsprechender `AWSRAMRevokeCertificateCertificateAuthority` Genehmigung erforderlich. Sperrberechtigungen sind nicht in enthalten. `AWSRAMDefaultPermissionCertificateAuthority` Um den Widerruf durch kontoübergreifende Emittenten zu ermöglichen, muss der CA-Administrator zwei RAM-Shares erstellen, die beide auf dieselbe CA verweisen:  
Eine Aktie mit der `AWSRAMRevokeCertificateCertificateAuthority` entsprechenden Genehmigung.
Eine Aktie mit der `AWSRAMDefaultPermissionCertificateAuthority` Genehmigung.

**Um ein Zertifikat zu widerrufen**  
Verwenden Sie die [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API-Aktion oder den Befehl [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html), um ein privates PKI-Zertifikat zu widerrufen. Die Seriennummer muss im Hexadezimalformat vorliegen. Sie können die Seriennummer abrufen, indem Sie den Befehl [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) aufrufen. Der Befehl `revoke-certificate` gibt keine Antwort zurück. 

```
$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"
```

## Widerrufene Zertifikate und OCSP
<a name="PcaRevokeOcsp"></a>

Bei OCSP-Antworten kann es bis zu 60 Minuten dauern, bis der neue Status angezeigt wird, wenn Sie ein Zertifikat widerrufen. Im Allgemeinen unterstützt OCSP tendenziell eine schnellere Verteilung von Sperrinformationen, da OCSP-Antworten, im Gegensatz zu CRLs denen, die von Clients tagelang zwischengespeichert werden können, in der Regel nicht von Clients zwischengespeichert werden.

## Widerrufene Zertifikate in einer Zertifikatssperrliste
<a name="PcaRevokeCrl"></a>

Eine Zertifikatssperrliste wird in der Regel etwa 30 Minuten nach Widerrufen eines Zertifikats aktualisiert. Falls eine CRL-Aktualisierung aus irgendeinem Grund fehlschlägt, werden alle 15 Minuten weitere AWS Private CA Versuche unternommen.

Mit Amazon CloudWatch können Sie Alarme für die Metriken `CRLGenerated` und erstellen`MisconfiguredCRLBucket`. Weitere Informationen finden Sie unter [Unterstützte CloudWatch Metriken](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html). Weitere Informationen zum Erstellen und Konfigurieren finden CRLs Sie unter[Richten Sie eine CRL ein für AWS Private CA](crl-planning.md). 

Das folgende Beispiel zeigt ein widerrufenes Zertifikat in einer Zertifikatssperrliste (Certificate Revocation List, (CRL)).

```
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76
```

## Widerrufene Zertifikate in einem Auditbericht
<a name="PcaRevokeAuditReport"></a>

Alle Zertifikate, einschließlich der widerrufenen Zertifikate, werden in den Auditbericht für eine private Zertifizierungsstelle aufgenommen. Das folgende Beispiel zeigt einen Auditbericht mit einem ausgestellten und einem widerrufenen Zertifikat. Weitere Informationen finden Sie unter [Verwenden Sie Prüfberichte mit Ihrer privaten Zertifizierungsstelle](PcaAuditReport.md). 

```
[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]
```

# Automatisieren Sie den Export eines erneuerten Zertifikats
<a name="auto-export"></a>

Wenn Sie eine Zertifizierungsstelle erstellen, können Sie diese Zertifizierungsstelle in die Zertifikatsausstellung und -erneuerung importieren AWS Certificate Manager und ACM die Verwaltung überlassen. AWS Private CA Wenn ein Zertifikat, das erneuert wird, einem [integrierten Dienst](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) zugeordnet ist, wendet der Dienst das neue Zertifikat nahtlos an. Wenn das Zertifikat jedoch ursprünglich für die Verwendung an anderer Stelle in Ihrer PKI-Umgebung [exportiert](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) wurde (z. B. auf einem lokalen Server oder einer Appliance), müssen Sie es nach der Verlängerung erneut exportieren. 

Eine Beispiellösung, die den ACM-Exportprozess mithilfe von Amazon EventBridge und AWS Lambda [automatisiert, finden Sie unter Automatisieren des Exports](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export) erneuerter Zertifikate.

# Verwenden Sie Zertifikatsvorlagen AWS Private CA
<a name="UsingTemplates"></a>

AWS Private CA verwendet Konfigurationsvorlagen, um sowohl Zertifizierungsstellenzertifikate als auch Endentitätszertifikate auszustellen. Wenn Sie ein CA-Zertifikat von der PCA-Konsole aus ausstellen, wird die entsprechende Stamm- oder untergeordnete CA-Zertifikatsvorlage automatisch angewendet. 

Wenn Sie die CLI oder API verwenden, um ein Zertifikat auszustellen, können Sie einen Vorlagen-ARN als Parameter für die `IssueCertificate` Aktion angeben. Wenn Sie keinen ARN angeben, wird die `EndEntityCertificate/V1` Vorlage standardmäßig angewendet. Weitere Informationen finden Sie in der Dokumentation zu den [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)Befehlen API und [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html).

**Anmerkung**  
AWS Certificate Manager (ACM) Benutzer mit kontenübergreifendem gemeinsamen Zugriff auf eine private Zertifizierungsstelle können verwaltete Zertifikate ausstellen, die von der Zertifizierungsstelle signiert sind. Kontoübergreifende Aussteller sind durch eine ressourcenbasierte Richtlinie eingeschränkt und haben nur Zugriff auf die folgenden Vorlagen für Endzertifikate:  
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1 /V1 APIPassthrough](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[Untergeordnet \$1 0/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](pca-rbp.md).

**Topics**
+ [AWS Private CA Vorlagensorten](template-varieties.md)
+ [AWS Private CA Vorlagenreihenfolge der Operationen](template-order-of-operations.md)
+ [AWS Private CA Vorlagendefinitionen](template-definitions.md)

# AWS Private CA Vorlagensorten
<a name="template-varieties"></a>

AWS Private CA unterstützt vier Arten von Vorlagen.
+ **Basisvorlagen**

  Vordefinierte Vorlagen, in denen keine Passthrough-Parameter zulässig sind.
+ **CSRPassthrough Vorlagen**

  Vorlagen, die ihre entsprechenden Basisvorlagenversionen erweitern, indem sie CSR-Passthrough zulassen. Erweiterungen in der CSR, die zur Ausstellung des Zertifikats verwendet werden, werden auf das ausgestellte Zertifikat kopiert. In Fällen, in denen die CSR Erweiterungswerte enthält, die mit der Vorlagendefinition in Konflikt stehen, hat die Vorlagendefinition immer die höhere Priorität. Weitere Informationen zur Priorität finden Sie unter[AWS Private CA Vorlagenreihenfolge der OperationenVorlage für die Reihenfolge der Operationen](template-order-of-operations.md).
+ **APIPassthrough Vorlagen**

  Vorlagen, die ihre entsprechenden Basisvorlagenversionen erweitern, indem sie API-Passthrough zulassen. Dynamische Werte, die dem Administrator oder anderen Zwischensystemen bekannt sind, sind der Entität, die das Zertifikat anfordert, möglicherweise nicht bekannt, können möglicherweise nicht in einer Vorlage definiert werden und sind möglicherweise nicht in der CSR verfügbar. Der CA-Administrator kann jedoch zusätzliche Informationen aus einer anderen Datenquelle, z. B. einem Active Directory, abrufen, um die Anfrage abzuschließen. Wenn ein Computer beispielsweise nicht weiß, zu welcher Organisationseinheit er gehört, kann der Administrator die Informationen in Active Directory nachschlagen und sie der Zertifikatsanforderung hinzufügen, indem er die Informationen in eine JSON-Struktur einfügt.

  Die Werte im `ApiPassthrough` Parameter der `IssueCertificate` Aktion `` werden in das ausgestellte Zertifikat kopiert. In Fällen, in denen der `ApiPassthrough` Parameter Informationen enthält, die mit der Vorlagendefinition in Konflikt stehen, hat die Vorlagendefinition immer die höhere Priorität. Weitere Informationen zur Priorität finden Sie unter[AWS Private CA Vorlagenreihenfolge der OperationenVorlage für die Reihenfolge der Operationen](template-order-of-operations.md). 
+ **APICSRPassthrough Vorlagen**

  Vorlagen, die ihre entsprechenden Basisvorlagenversionen erweitern, indem sie sowohl API- als auch CSR-Passthrough zulassen. Erweiterungen in der CSR, die zur Ausstellung des Zertifikats verwendet wurden, werden auf das ausgestellte Zertifikat kopiert, und Werte im `ApiPassthrough` `IssueCertificate` Aktionsparameter werden ebenfalls kopiert. In Fällen, in denen ein Konflikt zwischen der Vorlagendefinition, den API-Passthrough-Werten und den CSR-Passthrough-Erweiterungen besteht, hat die Vorlagendefinition die höchste Priorität, gefolgt von den API-Passthrough-Werten, gefolgt von den CSR-Passthrough-Erweiterungen. Weitere Informationen zur Priorität finden Sie unter. [AWS Private CA Vorlagenreihenfolge der OperationenVorlage für die Reihenfolge der Operationen](template-order-of-operations.md)

In den folgenden Tabellen sind alle von unterstützten Vorlagentypen AWS Private CA mit Links zu ihren Definitionen aufgeführt.

**Anmerkung**  
Informationen zu Vorlagen ARNs in GovCloud Regionen finden Sie [AWS Private Certificate Authority](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)im *AWS GovCloud (US) Benutzerhandbuch*.


**Basisvorlagen**  

|  Name der Vorlage  |  Vorlagen-ARN  |  Zertifikatstyp  | 
| --- | --- | --- | 
|  [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate/V1`  |  Codesignatur  | 
|  [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)  |  `arn:aws:acm-pca:::template/EndEntityCertificate/V1`  |  Endentität  | 
|  [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1`  |  Endentität  | 
|  [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)  |  `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1`  |  Endentität  | 
|  [OCSPSigningZertifikat/V1](template-definitions.md#OCSPSigningCertificate-V1)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1`  |  OCSP Signing  | 
|  [Stamm /V1 CACertificate](template-definitions.md#RootCACertificate-V1)  |  `arn:aws:acm-pca:::template/RootCACertificate/V1`  |  CA  | 
|  [Untergeordnet \$1 0/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1`  |  CA  | 
|  [Untergeordnet \$1 1/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen1-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1`  |  CA  | 
|  [Untergeordnet \$1 2/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen2-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1`  |  CA  | 
|  [Untergeordnet \$1 3/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen3-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1`  |  CA  | 


**CSRPassthrough Vorlagen**  

|  Name der Vorlage  |  Vorlagen-ARN  |  Zertifikatstyp  | 
| --- | --- | --- | 
|  [BlankEndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1`  | Endentität | 
|  [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 CSRPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1`  |  Endentität  | 
|  [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1`  |  CA  | 
|  [CodeSigningCertificate\$1 /V1 CSRPassthrough](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1`  |  Codesignatur  | 
|  [EndEntityCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1`  |  Endentität  | 
|  [EndEntityClientAuthCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1`  |  Endentität  | 
|  [EndEntityServerAuthCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1`  | Endentität | 
|  [OCSPSigningZertifikat\$1 /V1 CSRPassthrough](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1`  |  OCSP Signing  | 
|  [Untergeordnetes \$1 0\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1`  | CA | 
|  [Untergeordnet \$1 1\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1`  |  CA  | 
|  [Untergeordnet \$1 2\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1`  |  CA  | 
|  [Untergeordnet \$1 3\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1`  |  CA  | 


**APIPassthrough Vorlagen**  

|  Name der Vorlage  |  Vorlagen-ARN  |  Zertifikatstyp  | 
| --- | --- | --- | 
|  [BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1`  |  Endentität  | 
|  [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 APIPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1`  |  Endentität  | 
|  [CodeSigningCertificate\$1 /V1 APIPassthrough](template-definitions.md#CodeSigningCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1`  |  Codesignatur  | 
|  [EndEntityCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1`  |  Endentität  | 
|  [EndEntityClientAuthCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1`  |  Endentität  | 
|  [EndEntityServerAuthCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1`  |  Endentität  | 
|  [OCSPSigningZertifikat\$1 /V1 APIPassthrough](template-definitions.md#OCSPSigningCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1`  |  OCSP Signing  | 
|  [Wurzel \$1 /V1 CACertificate APIPassthrough](template-definitions.md#RootCACertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 1\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 2\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 3\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1`  |  CA  | 
|  [Untergeordnet \$1 0\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1`  |  CA  | 
|  [Untergeordnet \$1 1\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1`  |  CA  | 
|  [Untergeordnet \$1 2\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1`  |  CA  | 
|  [Untergeordnet \$1 3\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1`  |  CA  | 


**APICSRPassthrough Vorlagen**  

|  Name der Vorlage  |  Vorlagen-ARN  |  Zertifikatstyp  | 
| --- | --- | --- | 
|  [BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1`  |  Endentität  | 
|  |  |  | 
|  [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 APICSRPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1`  | Endentität | 
|  [CodeSigningCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#CodeSigningCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1`  |  Codesignatur  | 
|  [EndEntityCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1`  |  Endentität  | 
|  [EndEntityClientAuthCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1`  |  Endentität  | 
|  [EndEntityServerAuthCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough)  | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 |  Endentität  | 
|  [OCSPSigningZertifikat\$1 /V1 APICSRPassthrough](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1`  |  OCSP Signing  | 
|  [Untergeordnetes \$1 0\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1`  |  CA  | 
|  [Untergeordnet \$1 1\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1`  |  CA  | 
|  [Untergeordnet CACertificate \$1 2\$1/3\$1 V1 PathLen APICSRPassthrough PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1`  |  CA  | 
|  [Untergeordnet \$1 3\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1`  |  CA  | 

# AWS Private CA Vorlagenreihenfolge der Operationen
<a name="template-order-of-operations"></a>

Die in einem ausgestellten Zertifikat enthaltenen Informationen können aus vier Quellen stammen: der Vorlagendefinition, dem API-Passthrough, dem CSR-Passthrough und der CA-Konfiguration.

API-Passthrough-Werte werden nur berücksichtigt, wenn Sie eine API-Passthrough- oder eine APICSR-Passthrough-Vorlage verwenden. CSR-Passthrough wird nur berücksichtigt, wenn Sie eine oder eine APICSR-Passthrough-Vorlage verwenden. CSRPassthrough Wenn diese Informationsquellen miteinander in Konflikt stehen, gilt in der Regel eine allgemeine Regel: Für jeden Erweiterungswert hat die Vorlagendefinition die höchste Priorität, gefolgt von API-Passthrough-Werten, gefolgt von CSR-Passthrough-Erweiterungen.

**Beispiele**

1. Die Vorlagendefinition für [EndEntityClientAuthCertificate\$1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) definiert die ExtendedKeyUsage Erweiterung mit dem Wert „TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung“. Wenn in der CSR oder im `IssueCertificate` `ApiPassthrough` Parameter definiert ExtendedKeyUsage ist, ExtendedKeyUsage wird der `ApiPassthrough` Wert für ignoriert, da die Vorlagendefinition Priorität hat, und der CSR-Wert für den ExtendedKeyUsage Wert wird ignoriert, da es sich bei der Vorlage nicht um eine CSR-Passthrough-Variante handelt.
**Anmerkung**  
Die Vorlagendefinition kopiert dennoch andere Werte aus der CSR, wie z. B. Betreff und Alternativer Name des Betreffs. Diese Werte werden immer noch aus der CSR übernommen, obwohl es sich bei der Vorlage nicht um eine CSR-Passthrough-Variante handelt, da die Vorlagendefinition immer die höchste Priorität hat.

1. Die Vorlagendefinition für [EndEntityClientAuthCertificate\$1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) definiert, dass die Erweiterung Subject Alternative Name (SAN) aus der API oder CSR kopiert wurde. Wenn die SAN-Erweiterung in der CSR definiert und im `IssueCertificate` ` ApiPassthrough` Parameter angegeben ist, hat der API-Passthrough-Wert Vorrang, da API-Passthrough-Werte Vorrang vor CSR-Passthrough-Werten haben.

# AWS Private CA Vorlagendefinitionen
<a name="template-definitions"></a>

Die folgenden Abschnitte enthalten Konfigurationsdetails zu unterstützten AWS Private CA Zertifikatsvorlagen. 

## BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition
<a name="BlankEndEntityCertificate_APIPassthrough"></a>

Mit leeren Vorlagen für Endentitätszertifikate können Sie Endentitätszertifikate ausstellen, für die nur X.509 Basic-Einschränkungen gelten. Dies ist das einfachste Endentitätszertifikat, das ausgestellt werden AWS Private CA kann, es kann jedoch mithilfe der API-Struktur angepasst werden. Die Erweiterung Basic Constraints definiert, ob es sich bei dem Zertifikat um ein CA-Zertifikat handelt oder nicht. Eine leere Vorlage für ein Endentitätszertifikat erzwingt für Basic-Einschränkungen den Wert FALSE, um sicherzustellen, dass ein Endentitätszertifikat und kein CA-Zertifikat ausgestellt wird.

Sie können leere Passthrough-Vorlagen verwenden, um Smartcard-Zertifikate auszustellen, für die bestimmte Werte für Key Usage (KU) und Extended Key Usage (EKU) erforderlich sind. Beispielsweise können für die erweiterte Schlüsselverwendung eine Clientauthentifizierung und eine Smartcard-Anmeldung erforderlich sein, und für die Verwendung von Schlüsseln sind möglicherweise digitale Signatur, Nichtabweisung und Schlüsselverschlüsselung erforderlich. Im Gegensatz zu anderen Passthrough-Vorlagen ermöglichen leere Vorlagen für Endentitätszertifikate die Konfiguration von KU- und EKU-Erweiterungen, wobei KU einer der neun unterstützten Werte sein kann (DigitalSignature, NonRepudiation, KeyEncipherment, DataEncipherment, KeyAgreement keyCertSign,RLSign, c, EncipherOnly und DecipherOnly) und EKU jeder der unterstützten Werte sein kann (ServerAuth, ClientAuth, Codesigning, EmailProtection, Timestamping, Timestamping, und OCSPSigning) plus benutzerdefinierte Erweiterungen.


**BlankEndEntityCertificateAPIPassthrough\$1/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  CA: FALSCH  | 
|  Schlüssel-ID der Behörde  | [SKI aus dem CA-Zertifikat] | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

## BlankEndEntityCertificate\$1 /V1-Definition APICSRPassthrough
<a name="BlankEndEntityCertificate_APICSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 APICSRPassthrough /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  CA: FALSCH  | 
|  Schlüssel-ID der Behörde  | [SKI aus dem CA-Zertifikat] | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

## BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1-Definition APICSRPassthrough
<a name="BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  Kritisch, CA: FALSE  | 
|  Schlüssel-ID der Behörde  | [SKI aus dem CA-Zertifikat] | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration, API oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1-Definition APIPassthrough
<a name="BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  Kritisch, CA: FALSE  | 
|  Schlüssel-ID der Behörde  | [SKI aus dem CA-Zertifikat] | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder API]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1-Definition CSRPassthrough
<a name="BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  Kritisch, CA: FALSE  | 
|  Schlüssel-ID der Behörde  | [SKI aus dem CA-Zertifikat] | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankEndEntityCertificate\$1 /V1-Definition CSRPassthrough
<a name="BlankEndEntityCertificate_CSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 CSRPassthrough /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  CA: FALSCH  | 
|  Schlüssel-ID der Behörde  | [SKI aus dem CA-Zertifikat] | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen0_CSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 0`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen0_APICSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 0`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen0_APIPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 0`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen1_APIPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 1`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen1_CSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 1`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen1_APICSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 1`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen2_APIPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 2`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen2_CSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 2`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen2_APICSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 2`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen3_APIPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 3`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen3_CSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 3`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1Definition
<a name="BlankSubordinateCACertificate_PathLen3_APICSRPassthrough"></a>

Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 3`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### CodeSigningCertificate/V1-Definition
<a name="CodeSigningCertificate-V1"></a>

Diese Vorlage wird verwendet, um Zertifikate für die Codesignatur zu erstellen. Sie können Codesignaturzertifikate AWS Private CA mit jeder Codesignaturlösung verwenden, die auf einer privaten CA-Infrastruktur basiert. Beispielsweise AWS IoT können Kunden, die Code Signing for verwenden, ein Codesignaturzertifikat mit generieren und es in importieren. AWS Private CA AWS Certificate Manager Weitere Informationen finden Sie unter [Wozu dient Code Signing](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html)? AWS IoT[und Besorgen Sie sich ein Codesignaturzertifikat und importieren](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html) Sie es.


**CodeSigningCertificate/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  `CA:FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur  | 
|  Erweiterte Verwendung von Schlüsseln  |  Kritisch, Codesignatur  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### CodeSigningCertificate\$1 APICSRPassthrough /V1-Definition
<a name="CodeSigningCertificate_APICSRPassthrough"></a>

Diese Vorlage erweitert CodeSigningCertificate /V1 um die Unterstützung von API- und CSR-Passthrough-Werten.


**CodeSigningCertificateAPICSRPassthrough\$1 /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  `CA:FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur  | 
|  Erweiterte Verwendung von Schlüsseln  |  Kritisch, Codesignatur  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### CodeSigningCertificate\$1 /V1-Definition APIPassthrough
<a name="CodeSigningCertificate_APIPassthrough"></a>

Diese Vorlage ist mit der `CodeSigningCertificate` Vorlage identisch, AWS Private CA mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen über die API an das Zertifikat übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.


**CodeSigningCertificate\$1 APIPassthrough /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  `CA:FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur  | 
|  Erweiterte Verwendung von Schlüsseln  |  Kritisch, Codesignatur  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### CodeSigningCertificate\$1 /V1-Definition CSRPassthrough
<a name="CodeSigningCertificate_CSRPassthrough-V1"></a>

Diese Vorlage ist identisch mit der `CodeSigningCertificate` Vorlage, AWS Private CA mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.


**CodeSigningCertificate\$1 /V1 CSRPassthrough**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  `CA:FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur  | 
|  Erweiterte Verwendung von Schlüsseln  |  Kritisch, Codesignatur  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### EndEntityCertificate/V1-Definition
<a name="EndEntityCertificate-V1"></a>

Diese Vorlage wird verwendet, um Zertifikate für Endentitäten wie Betriebssysteme oder Webserver zu erstellen. 


**EndEntityCertificate/V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### EndEntityCertificate\$1 APICSRPassthrough /V1-Definition
<a name="EndEntityCertificate_APICSRPassthrough"></a>

Diese Vorlage erweitert EndEntityCertificate /V1 um die Unterstützung von API- und CSR-Passthrough-Werten.


**EndEntityCertificateAPICSRPassthrough\$1 /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### EndEntityCertificate\$1 /V1-Definition APIPassthrough
<a name="EndEntityCertificate_APIPassthrough"></a>

Diese Vorlage ist mit der `EndEntityCertificate` Vorlage identisch, AWS Private CA mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen über die API an das Zertifikat übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.


**EndEntityCertificate\$1 APIPassthrough /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### EndEntityCertificate\$1 /V1-Definition CSRPassthrough
<a name="EndEntityCertificate_CSRPassthrough-V1"></a>

Diese Vorlage ist identisch mit der `EndEntityCertificate` Vorlage, AWS Private CA mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.


**EndEntityCertificate\$1 /V1 CSRPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### EndEntityClientAuthCertificate/V1-Definition
<a name="EndEntityClientAuthCertificate-V1"></a>

Diese Vorlage unterscheidet sich von der Vorlage `EndEntityCertificate` nur durch den Wert für die erweiterte Schlüsselverwendung, der sie auf die TLS-Webclient-Authentifizierung beschränkt.


**EndEntityClientAuthCertificate/V1**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webclient-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### EndEntityClientAuthCertificate\$1 /V1-Definition APICSRPassthrough
<a name="EndEntityClientAuthCertificate_APICSRPassthrough"></a>

Diese Vorlage erweitert EndEntityClientAuthCertificate /V1 um die Unterstützung von API- und CSR-Passthrough-Werten.


**EndEntityClientAuthCertificateAPICSRPassthrough\$1 /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webclient-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### EndEntityClientAuthCertificate\$1 /V1-Definition APIPassthrough
<a name="EndEntityClientAuthCertificate_APIPassthrough"></a>

Diese Vorlage ist identisch mit der Vorlage `EndEntityClientAuthCertificate`, mit einem Unterschied: Übergibt in dieser AWS Private CA Vorlage zusätzliche Erweiterungen über die API an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.


**EndEntityClientAuthCertificate\$1 APIPassthrough /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webclient-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### EndEntityClientAuthCertificate\$1 /V1-Definition CSRPassthrough
<a name="EndEntityClientAuthCertificate_CSRPassthrough-V1"></a>

Diese Vorlage ist identisch mit der Vorlage `EndEntityClientAuthCertificate`, mit einem Unterschied: Übergibt in dieser Vorlage AWS Private CA zusätzliche Erweiterungen aus der Zertifikatsignieranforderung (CSR) an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.


**EndEntityClientAuthCertificate\$1 /V1 CSRPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
| Schlüsselnutzung |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webclient-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### EndEntityServerAuthCertificate/V1-Definition
<a name="EndEntityServerAuthCertificate-V1"></a>

Diese Vorlage unterscheidet sich von der Vorlage `EndEntityCertificate` nur durch den Wert für die erweiterte Schlüsselverwendung, der sie auf die TLS-Webserver-Authentifizierung beschränkt.


**EndEntityServerAuthCertificate/V1**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webserver-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1-Definition
<a name="EndEntityServerAuthCertificate_APICSRPassthrough"></a>

Diese Vorlage erweitert EndEntityServerAuthCertificate /V1 um die Unterstützung von API- und CSR-Passthrough-Werten.


**EndEntityServerAuthCertificateAPICSRPassthrough\$1 /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webserver-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### EndEntityServerAuthCertificate\$1 /V1-Definition APIPassthrough
<a name="EndEntityServerAuthCertificate_APIPassthrough"></a>

Diese Vorlage ist identisch mit der Vorlage `EndEntityServerAuthCertificate`, mit einem Unterschied: Übergibt in dieser AWS Private CA Vorlage zusätzliche Erweiterungen über die API an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.


**EndEntityServerAuthCertificate\$1 APIPassthrough /V1**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webserver-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### EndEntityServerAuthCertificate\$1 /V1-Definition CSRPassthrough
<a name="EndEntityServerAuthCertificate_CSRPassthrough-V1"></a>

Diese Vorlage ist identisch mit der Vorlage `EndEntityServerAuthCertificate`, mit einem Unterschied: Übergibt in dieser Vorlage AWS Private CA zusätzliche Erweiterungen aus der Zertifikatsignieranforderung (CSR) an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.


**EndEntityServerAuthCertificate\$1 /V1 CSRPassthrough**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  CA:`FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritische, digitale Signatur, Schlüsselverschlüsselung  | 
|  Erweiterte Verwendung von Schlüsseln  |  TLS-Webserver-Authentifizierung  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### OCSPSigningZertifikat/V1-Definition
<a name="OCSPSigningCertificate-V1"></a>

Diese Vorlage wird verwendet, um Zertifikate zum Signieren von OCSP-Antworten zu erstellen. Die Vorlage ist identisch mit der `CodeSigningCertificate` Vorlage, außer dass der Wert für die erweiterte Schlüsselverwendung die OCSP-Signierung anstelle der Codesignatur angibt.


**OCSPSigningZertifikat/V1**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  `CA:FALSE`  | 
| Schlüssel-ID der Behörde |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  | Kritische, digitale Signatur | 
|  Erweiterte Verwendung von Schlüsseln  |  Kritisch, OCSP-Signatur  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### OCSPSigningDefinition von Certificate\$1 /V1 APICSRPassthrough
<a name="OCSPSigningCertificate_APICSRPassthrough"></a>

Diese Vorlage erweitert das OCSPSigning Zertifikat/V1-Format um die Unterstützung von API- und CSR-Passthrough-Werten.


**OCSPSigningCertificate\$1 /V1 APICSRPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  `CA:FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  | Kritische, digitale Signatur | 
|  Erweiterte Verwendung von Schlüsseln  |  Kritisch, OCSP-Signatur  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### OCSPSigningDefinition von Certificate\$1 /V1 APIPassthrough
<a name="OCSPSigningCertificate_APIPassthrough"></a>

Diese Vorlage ist identisch mit der Vorlage `OCSPSigningCertificate`, mit einem Unterschied: Übergibt in dieser Vorlage AWS Private CA zusätzliche Erweiterungen über die API an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.


**OCSPSigningZertifikat\$1 /V1 APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  `CA:FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  | Kritische, digitale Signatur | 
|  Erweiterte Verwendung von Schlüsseln  |  Kritisch, OCSP-Signatur  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### OCSPSigningDefinition von Certificate\$1 /V1 CSRPassthrough
<a name="OCSPSigningCertificate_CSRPassthrough-V1"></a>

Diese Vorlage ist identisch mit der Vorlage `OCSPSigningCertificate`, mit einem Unterschied: Übergibt in dieser Vorlage zusätzliche AWS Private CA Erweiterungen aus der Zertifikatsignieranforderung (CSR) an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.


**OCSPSigningCertificate\$1 /V1 CSRPassthrough**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  `CA:FALSE`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  | Kritische, digitale Signatur | 
|  Erweiterte Verwendung von Schlüsseln  |  Kritisch, OCSP-Signatur  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist. 

### Root-/V1-Definition CACertificate
<a name="RootCACertificate-V1"></a>

Diese Vorlage wird verwendet, um selbstsignierte CA-Zertifikate auszustellen. CA-Zertifikate enthalten eine Erweiterung für wichtige grundlegende Einschränkungen, wobei das CA-Feld so festgelegt ist, dass `TRUE` zum Ausstellen von CA-Zertifikaten verwendet werden kann. Die Vorlage gibt keine Pfadlänge ([pathLenConstraint](PcaTerms.md#terms-pathlength)) an, da dies eine future Erweiterung der Hierarchie verhindern könnte. Eine erweiterte Schlüsselverwendung ist ausgeschlossen, um die Verwendung des CA-Zertifikats als TLS-Client- oder Serverzertifikat zu verhindern. Es werden keine Zertifikatsperrlisteninformationen angegeben, da ein selbstsigniertes Zertifikat nicht widerrufen werden kann.


**Stamm /V1 CACertificate**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur keyCertSign, CRL-Zeichen  | 
|  CRL-Verteilungspunkte  |  –  | 

### Definition von Root CACertificate \$1 APIPassthrough /V1
<a name="RootCACertificate_APIPassthrough"></a>

Diese Vorlage erweitert Root CACertificate /V1 um die Unterstützung von API-Passthrough-Werten.


**Root \$1 /V1 CACertificate APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`  | 
|  Schlüssel-ID der Behörde  |  [Passthrough von der API]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur keyCertSign, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  –  | 

### BlankRootCACertificate\$1 /V1-Definition APIPassthrough
<a name="BlankRootCACertificate_APIPassthrough"></a>

Mit leeren Stammzertifikatvorlagen können Sie Stammzertifikate ausstellen, für die nur grundlegende X.509-Einschränkungen gelten. Dies ist das einfachste Stammzertifikat, das ausgestellt werden AWS Private CA kann, es kann jedoch mithilfe der API-Struktur angepasst werden. Die Erweiterung Basic Constraints definiert, ob es sich bei dem Zertifikat um ein CA-Zertifikat handelt oder nicht. Eine leere Stammzertifikatvorlage erzwingt einen Wert von `TRUE` vier Basiseinschränkungen, um sicherzustellen, dass ein Stammzertifizierungsstellenzertifikat ausgestellt wird.

Sie können leere Passthrough-Root-Vorlagen verwenden, um Stammzertifikate auszustellen, für die bestimmte Werte für die Schlüsselverwendung (KU) erforderlich sind. Beispielsweise kann für die Verwendung von Schlüsseln `keyCertSign` und erforderlich sein, dies ist `cRLSign` jedoch nicht `digitalSignature` der Fall. Im Gegensatz zu anderen Root-Passthrough-Zertifikatsvorlagen, die nicht leer sind, ermöglichen leere Stammzertifikatsvorlagen die Konfiguration der KU-Erweiterung, wobei KU für jeden der neun unterstützten Werte (`digitalSignature`,,`nonRepudiation`,,`keyEncipherment`,`dataEncipherment`, `keyAgreement` `keyCertSign` `cRLSign``encipherOnly`, und`decipherOnly`) stehen kann. 


**BlankRootCACertificate\$1 /V1 APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 

### BlankRootCACertificate\$1 PathLen 0\$1 /V1-Definition APIPassthrough
<a name="BlankRootCACertificate_PathLen0_APIPassthrough"></a>

Allgemeine Informationen zu leeren Root-CA-Vorlagen finden Sie unter. [BlankRootCACertificate\$1 /V1-Definition APIPassthrough](#BlankRootCACertificate_APIPassthrough)


**BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 0`  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 

### BlankRootCACertificate\$1 PathLen 1\$1 /V1-Definition APIPassthrough
<a name="BlankRootCACertificate_PathLen1_APIPassthrough"></a>

Allgemeine Informationen zu leeren Root-CA-Vorlagen finden Sie unter. [BlankRootCACertificate\$1 /V1-Definition APIPassthrough](#BlankRootCACertificate_APIPassthrough)


**BlankRootCACertificate\$1 PathLen 1\$1 /V1 APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 1`  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 

### BlankRootCACertificate\$1 PathLen 2\$1 /V1-Definition APIPassthrough
<a name="BlankRootCACertificate_PathLen2_APIPassthrough"></a>

Allgemeine Informationen zu leeren Root-CA-Vorlagen finden Sie unter. [BlankRootCACertificate\$1 /V1-Definition APIPassthrough](#BlankRootCACertificate_APIPassthrough)


**BlankRootCACertificate\$1 PathLen 2\$1 /V1 APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 2`  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 

### BlankRootCACertificate\$1 PathLen 3\$1 /V1-Definition APIPassthrough
<a name="BlankRootCACertificate_PathLen3_APIPassthrough"></a>

Allgemeine Informationen zu leeren Root-CA-Vorlagen finden Sie unter. [BlankRootCACertificate\$1 /V1-Definition APIPassthrough](#BlankRootCACertificate_APIPassthrough)


**BlankRootCACertificate\$1 PathLen 3\$1 /V1 APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 3`  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 

### Untergeordnete CACertificate \$1 0/V1-Definition PathLen
<a name="SubordinateCACertificate_PathLen0-V1"></a>

Diese Vorlage wird verwendet, um untergeordnete CA-Zertifikate mit einer Pfadlänge von auszustellen. `0` CA-Zertifikate enthalten eine Erweiterung für wichtige grundlegende Einschränkungen, wobei das CA-Feld so festgelegt ist, dass `TRUE` zum Ausstellen von CA-Zertifikaten verwendet werden kann. Die erweiterte Schlüsselverwendung ist nicht enthalten, wodurch verhindert wird, dass das CA-Zertifikat als TLS-Client- oder Serverzertifikat verwendet wird.

Mehr über Zertifizierungspfade erfahren Sie auf der Seite mit Informationen über das [Festlegen von Längenbeschränkungen für den Zertifizierungspfad](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Untergeordnetes \$1 0/V1 CACertificate PathLen**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 0`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1CRL-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt werden, wenn die Zertifizierungsstelle mit aktivierter CRL-Generierung konfiguriert ist.

### Untergeordnete \$1 0\$1 /V1-Definition CACertificate PathLen APICSRPassthrough
<a name="SubordinateCACertificate_PathLen0_APICSRPassthrough"></a>

Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 0/V1 um die Unterstützung von API- und CSR-Passthrough-Werten.


**Subordinate \$1 0\$1 /V1 CACertificate PathLen APICSRPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 0`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### Untergeordnete CACertificate \$1 0\$1 /V1-Definition PathLen APIPassthrough
<a name="SubordinateCACertificate_PathLen0_APIPassthrough"></a>

Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 0/V1 um die Unterstützung von API-Passthrough-Werten.


**Subordinate \$1 0\$1 /V1 CACertificate PathLen APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 0`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### Untergeordnete CACertificate \$1 0\$1 /V1-Definition PathLen CSRPassthrough
<a name="SubordinateCACertificate_PathLen0_CSRPassthrough-V1"></a>

Diese Vorlage ist identisch mit der `SubordinateCACertificate_PathLen0` Vorlage, mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat AWS Private CA übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.

**Anmerkung**  
Eine CSR, die benutzerdefinierte zusätzliche Erweiterungen enthält, muss außerhalb von erstellt werden. AWS Private CA


**Untergeordnet CACertificate \$1 0\$1 /V1 PathLen CSRPassthrough**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 0`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.

### Untergeordnete \$1 1/V1-Definition CACertificate PathLen
<a name="SubordinateCACertificate_PathLen1-V1"></a>

Diese Vorlage wird verwendet, um untergeordnete CA-Zertifikate mit einer Pfadlänge von auszustellen. `1` CA-Zertifikate enthalten eine wichtige Erweiterung Basic Constraints, bei der das CA-Feld auf gesetzt ist, `TRUE` um anzugeben, dass das Zertifikat zur Ausstellung von CA-Zertifikaten verwendet werden kann. Die erweiterte Schlüsselverwendung ist nicht enthalten, wodurch verhindert wird, dass das CA-Zertifikat als TLS-Client- oder Serverzertifikat verwendet wird.

Mehr über Zertifizierungspfade erfahren Sie auf der Seite mit Informationen über das [Festlegen von Längenbeschränkungen für den Zertifizierungspfad](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Untergeordnet \$1 1/V1 CACertificate PathLen**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 1`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.

### Untergeordnete CACertificate \$1 PathLen 1\$1 /V1-Definition APICSRPassthrough
<a name="SubordinateCACertificate_PathLen1_APICSRPassthrough"></a>

Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 1/V1 um die Unterstützung von API- und CSR-Passthrough-Werten.


**Subordinate \$1 1\$1 /V1 CACertificate PathLen APICSRPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 1`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### Untergeordnete CACertificate \$1 1\$1 /V1-Definition PathLen APIPassthrough
<a name="SubordinateCACertificate_PathLen1_APIPassthrough"></a>

Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 0/V1 um die Unterstützung von API-Passthrough-Werten.


**Subordinate \$1 1\$1 /V1 CACertificate PathLen APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 1`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### Untergeordnete CACertificate \$1 1\$1 /V1-Definition PathLen CSRPassthrough
<a name="SubordinateCACertificate_PathLen1_CSRPassthrough-V1"></a>

Diese Vorlage ist mit der `SubordinateCACertificate_PathLen1` Vorlage identisch, mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat AWS Private CA übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.

**Anmerkung**  
Eine CSR, die benutzerdefinierte zusätzliche Erweiterungen enthält, muss außerhalb von erstellt werden. AWS Private CA


**Untergeordnet CACertificate \$1 1\$1 /V1 PathLen CSRPassthrough**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 1`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.

### Untergeordnete \$1 2/V1-Definition CACertificate PathLen
<a name="SubordinateCACertificate_PathLen2-V1"></a>

Diese Vorlage wird verwendet, um untergeordnete CA-Zertifikate mit einer Pfadlänge von 2 auszustellen. CA-Zertifikate enthalten eine wichtige Erweiterung Basic Constraints, bei der das CA-Feld auf gesetzt ist, `TRUE` um anzugeben, dass das Zertifikat zur Ausstellung von CA-Zertifikaten verwendet werden kann. Die erweiterte Schlüsselverwendung ist nicht enthalten, wodurch verhindert wird, dass das CA-Zertifikat als TLS-Client- oder Serverzertifikat verwendet wird.

Mehr über Zertifizierungspfade erfahren Sie auf der Seite mit Informationen über das [Festlegen von Längenbeschränkungen für den Zertifizierungspfad](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Untergeordnet \$1 2/V1 CACertificate PathLen**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 2`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.

### Untergeordnete CACertificate \$1 PathLen 2\$1 /V1-Definition APICSRPassthrough
<a name="SubordinateCACertificate_PathLen2_APICSRPassthrough"></a>

Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 2/V1 um die Unterstützung von API- und CSR-Passthrough-Werten.


**Subordinate \$1 2\$1 /V1 CACertificate PathLen APICSRPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 2`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### Untergeordnete CACertificate \$1 2\$1 /V1-Definition PathLen APIPassthrough
<a name="SubordinateCACertificate_PathLen2_APIPassthrough"></a>

Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 2/V1 um die Unterstützung von API-Passthrough-Werten.


**Subordinate \$1 2\$1 /V1 CACertificate PathLen APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 2`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### Untergeordnete CACertificate \$1 2\$1 /V1-Definition PathLen CSRPassthrough
<a name="SubordinateCACertificate_PathLen2_CSRPassthrough-V1"></a>

Diese Vorlage ist identisch mit der `SubordinateCACertificate_PathLen2` Vorlage, mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat AWS Private CA übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.

**Anmerkung**  
Eine CSR, die benutzerdefinierte zusätzliche Erweiterungen enthält, muss außerhalb von erstellt werden. AWS Private CA


**Untergeordnetes CACertificate \$1 2\$1 /V1 PathLen CSRPassthrough**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 2`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.

### Untergeordnete \$1 3/V1-Definition CACertificate PathLen
<a name="SubordinateCACertificate_PathLen3-V1"></a>

Diese Vorlage wird verwendet, um untergeordnete CA-Zertifikate mit einer Pfadlänge von 3 auszustellen. CA-Zertifikate enthalten eine wichtige Erweiterung Basic Constraints, bei der das CA-Feld auf gesetzt ist, `TRUE` um anzugeben, dass das Zertifikat zur Ausstellung von CA-Zertifikaten verwendet werden kann. Die erweiterte Schlüsselverwendung ist nicht enthalten, wodurch verhindert wird, dass das CA-Zertifikat als TLS-Client- oder Serverzertifikat verwendet wird.

Mehr über Zertifizierungspfade erfahren Sie auf der Seite mit Informationen über das [Festlegen von Längenbeschränkungen für den Zertifizierungspfad](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Untergeordnet \$1 3/V1 CACertificate PathLen**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 3`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.

### Untergeordnete CACertificate \$1 PathLen 3\$1 /V1-Definition APICSRPassthrough
<a name="SubordinateCACertificate_PathLen3_APICSRPassthrough"></a>

Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 3/V1 um die Unterstützung von API- und CSR-Passthrough-Werten.


**Subordinate \$1 3\$1 /V1 CACertificate PathLen APICSRPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 3`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### Untergeordnete CACertificate \$1 3\$1 /V1-Definition PathLen APIPassthrough
<a name="SubordinateCACertificate_PathLen3_APIPassthrough"></a>

Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 3/V1 um die Unterstützung von API-Passthrough-Werten.


**Subordinate \$1 3\$1 /V1 CACertificate PathLen APIPassthrough**  

|  X509v3-Parameter  | Wert | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Passthrough von API oder CSR]  | 
|  Betreff  |  [Passthrough von API oder CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 3`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration]  | 

\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist. 

### Untergeordnete CACertificate \$1 3\$1 /V1-Definition PathLen CSRPassthrough
<a name="SubordinateCACertificate_PathLen3_CSRPassthrough-V1"></a>

Diese Vorlage ist identisch mit der `SubordinateCACertificate_PathLen3` Vorlage, mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat AWS Private CA übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.

**Anmerkung**  
Eine CSR, die benutzerdefinierte zusätzliche Erweiterungen enthält, muss außerhalb von erstellt werden. AWS Private CA


**Untergeordnet CACertificate \$1 3\$1 /V1 PathLen CSRPassthrough**  

|  X509v3-Parameter  |  Wert  | 
| --- | --- | 
|  Alternativer Name des Betreffs  |  [Weiterleitung von CSR]  | 
|  Betreff  |  [Passthrough von CSR]  | 
|  Grundlegende Einschränkungen  |  kritisch, `CA:TRUE`, `pathlen: 3`  | 
|  Schlüssel-ID der Behörde  |  [SKI aus dem CA-Zertifikat]  | 
|  Schlüssel-ID für den Betreff  |  [Abgeleitet von CSR]  | 
|  Schlüsselnutzung  |  Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen  | 
|  CRL-Verteilungspunkte\$1  |  [Passthrough aus der CA-Konfiguration oder CSR]  | 

\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.