Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden Sie Zertifikatsvorlagen AWS Private CA
AWS Private CA verwendet Konfigurationsvorlagen, um sowohl Zertifizierungsstellenzertifikate als auch Endentitätszertifikate auszustellen. Wenn Sie ein CA-Zertifikat von der PCA-Konsole aus ausstellen, wird die entsprechende Stamm- oder untergeordnete CA-Zertifikatsvorlage automatisch angewendet.
Wenn Sie die CLI oder API verwenden, um ein Zertifikat auszustellen, können Sie einen Vorlagen-ARN als Parameter für die `IssueCertificate` Aktion angeben. Wenn Sie keinen ARN angeben, wird die `EndEntityCertificate/V1` Vorlage standardmäßig angewendet. Weitere Informationen finden Sie in der Dokumentation zu den [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)Befehlen API und [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html).
**Anmerkung**
AWS Certificate Manager (ACM) Benutzer mit kontenübergreifendem gemeinsamen Zugriff auf eine private Zertifizierungsstelle können verwaltete Zertifikate ausstellen, die von der Zertifizierungsstelle signiert sind. Kontoübergreifende Aussteller sind durch eine ressourcenbasierte Richtlinie eingeschränkt und haben nur Zugriff auf die folgenden Vorlagen für Endzertifikate:
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1 /V1 APIPassthrough](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[Untergeordnet \$1 0/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinien](pca-rbp.md).
**Topics**
+ [
# AWS Private CA Vorlagensorten
](template-varieties.md)
+ [
# AWS Private CA Vorlagenreihenfolge der Operationen
](template-order-of-operations.md)
+ [
# AWS Private CA Vorlagendefinitionen
](template-definitions.md)
# AWS Private CA Vorlagensorten
AWS Private CA unterstützt vier Arten von Vorlagen.
+ **Basisvorlagen**
Vordefinierte Vorlagen, in denen keine Passthrough-Parameter zulässig sind.
+ **CSRPassthrough Vorlagen**
Vorlagen, die ihre entsprechenden Basisvorlagenversionen erweitern, indem sie CSR-Passthrough zulassen. Erweiterungen in der CSR, die zur Ausstellung des Zertifikats verwendet werden, werden auf das ausgestellte Zertifikat kopiert. In Fällen, in denen die CSR Erweiterungswerte enthält, die mit der Vorlagendefinition in Konflikt stehen, hat die Vorlagendefinition immer die höhere Priorität. Weitere Informationen zur Priorität finden Sie unter[AWS Private CA Vorlagenreihenfolge der OperationenVorlage für die Reihenfolge der Operationen](template-order-of-operations.md).
+ **APIPassthrough Vorlagen**
Vorlagen, die ihre entsprechenden Basisvorlagenversionen erweitern, indem sie API-Passthrough zulassen. Dynamische Werte, die dem Administrator oder anderen Zwischensystemen bekannt sind, sind der Entität, die das Zertifikat anfordert, möglicherweise nicht bekannt, können möglicherweise nicht in einer Vorlage definiert werden und sind möglicherweise nicht in der CSR verfügbar. Der CA-Administrator kann jedoch zusätzliche Informationen aus einer anderen Datenquelle, z. B. einem Active Directory, abrufen, um die Anfrage abzuschließen. Wenn ein Computer beispielsweise nicht weiß, zu welcher Organisationseinheit er gehört, kann der Administrator die Informationen in Active Directory nachschlagen und sie der Zertifikatsanforderung hinzufügen, indem er die Informationen in eine JSON-Struktur einfügt.
Die Werte im `ApiPassthrough` Parameter der `IssueCertificate` Aktion `` werden in das ausgestellte Zertifikat kopiert. In Fällen, in denen der `ApiPassthrough` Parameter Informationen enthält, die mit der Vorlagendefinition in Konflikt stehen, hat die Vorlagendefinition immer die höhere Priorität. Weitere Informationen zur Priorität finden Sie unter[AWS Private CA Vorlagenreihenfolge der OperationenVorlage für die Reihenfolge der Operationen](template-order-of-operations.md).
+ **APICSRPassthrough Vorlagen**
Vorlagen, die ihre entsprechenden Basisvorlagenversionen erweitern, indem sie sowohl API- als auch CSR-Passthrough zulassen. Erweiterungen in der CSR, die zur Ausstellung des Zertifikats verwendet wurden, werden auf das ausgestellte Zertifikat kopiert, und Werte im `ApiPassthrough` `IssueCertificate` Aktionsparameter werden ebenfalls kopiert. In Fällen, in denen ein Konflikt zwischen der Vorlagendefinition, den API-Passthrough-Werten und den CSR-Passthrough-Erweiterungen besteht, hat die Vorlagendefinition die höchste Priorität, gefolgt von den API-Passthrough-Werten, gefolgt von den CSR-Passthrough-Erweiterungen. Weitere Informationen zur Priorität finden Sie unter. [AWS Private CA Vorlagenreihenfolge der OperationenVorlage für die Reihenfolge der Operationen](template-order-of-operations.md)
In den folgenden Tabellen sind alle von unterstützten Vorlagentypen AWS Private CA mit Links zu ihren Definitionen aufgeführt.
**Anmerkung**
Informationen zu Vorlagen ARNs in GovCloud Regionen finden Sie [AWS Private Certificate Authority](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)im *AWS GovCloud (US) Benutzerhandbuch*.
**Basisvorlagen**
| Name der Vorlage | Vorlagen-ARN | Zertifikatstyp |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | Codesignatur |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | Endentität |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | Endentität |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | Endentität |
| [OCSPSigningZertifikat/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | OCSP Signing |
| [Stamm /V1 CACertificate](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [Untergeordnet \$1 0/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [Untergeordnet \$1 1/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [Untergeordnet \$1 2/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [Untergeordnet \$1 3/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough Vorlagen**
| Name der Vorlage | Vorlagen-ARN | Zertifikatstyp |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | Endentität |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 CSRPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | Endentität |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificate\$1 /V1 CSRPassthrough](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | Codesignatur |
| [EndEntityCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | Endentität |
| [EndEntityClientAuthCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | Endentität |
| [EndEntityServerAuthCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | Endentität |
| [OCSPSigningZertifikat\$1 /V1 CSRPassthrough](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | OCSP Signing |
| [Untergeordnetes \$1 0\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [Untergeordnet \$1 1\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [Untergeordnet \$1 2\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [Untergeordnet \$1 3\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough Vorlagen**
| Name der Vorlage | Vorlagen-ARN | Zertifikatstyp |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | Endentität |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 APIPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | Endentität |
| [CodeSigningCertificate\$1 /V1 APIPassthrough](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | Codesignatur |
| [EndEntityCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | Endentität |
| [EndEntityClientAuthCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | Endentität |
| [EndEntityServerAuthCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | Endentität |
| [OCSPSigningZertifikat\$1 /V1 APIPassthrough](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | OCSP Signing |
| [Wurzel \$1 /V1 CACertificate APIPassthrough](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 1\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 2\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 3\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [Untergeordnet \$1 0\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [Untergeordnet \$1 1\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [Untergeordnet \$1 2\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [Untergeordnet \$1 3\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough Vorlagen**
| Name der Vorlage | Vorlagen-ARN | Zertifikatstyp |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | Endentität |
| | | |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 APICSRPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | Endentität |
| [CodeSigningCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | Codesignatur |
| [EndEntityCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | Endentität |
| [EndEntityClientAuthCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | Endentität |
| [EndEntityServerAuthCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | Endentität |
| [OCSPSigningZertifikat\$1 /V1 APICSRPassthrough](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | OCSP Signing |
| [Untergeordnetes \$1 0\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [Untergeordnet \$1 1\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [Untergeordnet CACertificate \$1 2\$1/3\$1 V1 PathLen APICSRPassthrough PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [Untergeordnet \$1 3\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS Private CA Vorlagenreihenfolge der Operationen
Die in einem ausgestellten Zertifikat enthaltenen Informationen können aus vier Quellen stammen: der Vorlagendefinition, dem API-Passthrough, dem CSR-Passthrough und der CA-Konfiguration.
API-Passthrough-Werte werden nur berücksichtigt, wenn Sie eine API-Passthrough- oder eine APICSR-Passthrough-Vorlage verwenden. CSR-Passthrough wird nur berücksichtigt, wenn Sie eine oder eine APICSR-Passthrough-Vorlage verwenden. CSRPassthrough Wenn diese Informationsquellen miteinander in Konflikt stehen, gilt in der Regel eine allgemeine Regel: Für jeden Erweiterungswert hat die Vorlagendefinition die höchste Priorität, gefolgt von API-Passthrough-Werten, gefolgt von CSR-Passthrough-Erweiterungen.
**Beispiele**
1. Die Vorlagendefinition für [EndEntityClientAuthCertificate\$1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) definiert die ExtendedKeyUsage Erweiterung mit dem Wert „TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung“. Wenn in der CSR oder im `IssueCertificate` `ApiPassthrough` Parameter definiert ExtendedKeyUsage ist, ExtendedKeyUsage wird der `ApiPassthrough` Wert für ignoriert, da die Vorlagendefinition Priorität hat, und der CSR-Wert für den ExtendedKeyUsage Wert wird ignoriert, da es sich bei der Vorlage nicht um eine CSR-Passthrough-Variante handelt.
**Anmerkung**
Die Vorlagendefinition kopiert dennoch andere Werte aus der CSR, wie z. B. Betreff und Alternativer Name des Betreffs. Diese Werte werden immer noch aus der CSR übernommen, obwohl es sich bei der Vorlage nicht um eine CSR-Passthrough-Variante handelt, da die Vorlagendefinition immer die höchste Priorität hat.
1. Die Vorlagendefinition für [EndEntityClientAuthCertificate\$1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) definiert, dass die Erweiterung Subject Alternative Name (SAN) aus der API oder CSR kopiert wurde. Wenn die SAN-Erweiterung in der CSR definiert und im `IssueCertificate` ` ApiPassthrough` Parameter angegeben ist, hat der API-Passthrough-Wert Vorrang, da API-Passthrough-Werte Vorrang vor CSR-Passthrough-Werten haben.
# AWS Private CA Vorlagendefinitionen
Die folgenden Abschnitte enthalten Konfigurationsdetails zu unterstützten AWS Private CA Zertifikatsvorlagen.
## BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition
Mit leeren Vorlagen für Endentitätszertifikate können Sie Endentitätszertifikate ausstellen, für die nur X.509 Basic-Einschränkungen gelten. Dies ist das einfachste Endentitätszertifikat, das ausgestellt werden AWS Private CA kann, es kann jedoch mithilfe der API-Struktur angepasst werden. Die Erweiterung Basic Constraints definiert, ob es sich bei dem Zertifikat um ein CA-Zertifikat handelt oder nicht. Eine leere Vorlage für ein Endentitätszertifikat erzwingt für Basic-Einschränkungen den Wert FALSE, um sicherzustellen, dass ein Endentitätszertifikat und kein CA-Zertifikat ausgestellt wird.
Sie können leere Passthrough-Vorlagen verwenden, um Smartcard-Zertifikate auszustellen, für die bestimmte Werte für Key Usage (KU) und Extended Key Usage (EKU) erforderlich sind. Beispielsweise können für die erweiterte Schlüsselverwendung eine Clientauthentifizierung und eine Smartcard-Anmeldung erforderlich sein, und für die Verwendung von Schlüsseln sind möglicherweise digitale Signatur, Nichtabweisung und Schlüsselverschlüsselung erforderlich. Im Gegensatz zu anderen Passthrough-Vorlagen ermöglichen leere Vorlagen für Endentitätszertifikate die Konfiguration von KU- und EKU-Erweiterungen, wobei KU einer der neun unterstützten Werte sein kann (DigitalSignature, NonRepudiation, KeyEncipherment, DataEncipherment, KeyAgreement keyCertSign,RLSign, c, EncipherOnly und DecipherOnly) und EKU jeder der unterstützten Werte sein kann (ServerAuth, ClientAuth, Codesigning, EmailProtection, Timestamping, Timestamping, und OCSPSigning) plus benutzerdefinierte Erweiterungen.
**BlankEndEntityCertificateAPIPassthrough\$1/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | CA: FALSCH |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
## BlankEndEntityCertificate\$1 /V1-Definition APICSRPassthrough
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 APICSRPassthrough /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | CA: FALSCH |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
## BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1-Definition APICSRPassthrough
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | Kritisch, CA: FALSE |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration, API oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1-Definition APIPassthrough
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | Kritisch, CA: FALSE |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder API] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1-Definition CSRPassthrough
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | Kritisch, CA: FALSE |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankEndEntityCertificate\$1 /V1-Definition CSRPassthrough
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CSRPassthrough /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | CA: FALSCH |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 0` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 0` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 0` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 1` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 1` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 1` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 2` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 2` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 2` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 3` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 3` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1Definition
Allgemeine Informationen zu leeren Vorlagen finden Sie unter[BlankEndEntityCertificate\$1 APIPassthrough /V1-Definition](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 3` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### CodeSigningCertificate/V1-Definition
Diese Vorlage wird verwendet, um Zertifikate für die Codesignatur zu erstellen. Sie können Codesignaturzertifikate AWS Private CA mit jeder Codesignaturlösung verwenden, die auf einer privaten CA-Infrastruktur basiert. Beispielsweise AWS IoT können Kunden, die Code Signing for verwenden, ein Codesignaturzertifikat mit generieren und es in importieren. AWS Private CA AWS Certificate Manager Weitere Informationen finden Sie unter [Wozu dient Code Signing](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html)? AWS IoT[und Besorgen Sie sich ein Codesignaturzertifikat und importieren](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html) Sie es.
**CodeSigningCertificate/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | `CA:FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur |
| Erweiterte Verwendung von Schlüsseln | Kritisch, Codesignatur |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### CodeSigningCertificate\$1 APICSRPassthrough /V1-Definition
Diese Vorlage erweitert CodeSigningCertificate /V1 um die Unterstützung von API- und CSR-Passthrough-Werten.
**CodeSigningCertificateAPICSRPassthrough\$1 /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | `CA:FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur |
| Erweiterte Verwendung von Schlüsseln | Kritisch, Codesignatur |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### CodeSigningCertificate\$1 /V1-Definition APIPassthrough
Diese Vorlage ist mit der `CodeSigningCertificate` Vorlage identisch, AWS Private CA mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen über die API an das Zertifikat übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.
**CodeSigningCertificate\$1 APIPassthrough /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | `CA:FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur |
| Erweiterte Verwendung von Schlüsseln | Kritisch, Codesignatur |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### CodeSigningCertificate\$1 /V1-Definition CSRPassthrough
Diese Vorlage ist identisch mit der `CodeSigningCertificate` Vorlage, AWS Private CA mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.
**CodeSigningCertificate\$1 /V1 CSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | `CA:FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur |
| Erweiterte Verwendung von Schlüsseln | Kritisch, Codesignatur |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### EndEntityCertificate/V1-Definition
Diese Vorlage wird verwendet, um Zertifikate für Endentitäten wie Betriebssysteme oder Webserver zu erstellen.
**EndEntityCertificate/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### EndEntityCertificate\$1 APICSRPassthrough /V1-Definition
Diese Vorlage erweitert EndEntityCertificate /V1 um die Unterstützung von API- und CSR-Passthrough-Werten.
**EndEntityCertificateAPICSRPassthrough\$1 /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### EndEntityCertificate\$1 /V1-Definition APIPassthrough
Diese Vorlage ist mit der `EndEntityCertificate` Vorlage identisch, AWS Private CA mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen über die API an das Zertifikat übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.
**EndEntityCertificate\$1 APIPassthrough /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### EndEntityCertificate\$1 /V1-Definition CSRPassthrough
Diese Vorlage ist identisch mit der `EndEntityCertificate` Vorlage, AWS Private CA mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.
**EndEntityCertificate\$1 /V1 CSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### EndEntityClientAuthCertificate/V1-Definition
Diese Vorlage unterscheidet sich von der Vorlage `EndEntityCertificate` nur durch den Wert für die erweiterte Schlüsselverwendung, der sie auf die TLS-Webclient-Authentifizierung beschränkt.
**EndEntityClientAuthCertificate/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webclient-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### EndEntityClientAuthCertificate\$1 /V1-Definition APICSRPassthrough
Diese Vorlage erweitert EndEntityClientAuthCertificate /V1 um die Unterstützung von API- und CSR-Passthrough-Werten.
**EndEntityClientAuthCertificateAPICSRPassthrough\$1 /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webclient-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### EndEntityClientAuthCertificate\$1 /V1-Definition APIPassthrough
Diese Vorlage ist identisch mit der Vorlage `EndEntityClientAuthCertificate`, mit einem Unterschied: Übergibt in dieser AWS Private CA Vorlage zusätzliche Erweiterungen über die API an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.
**EndEntityClientAuthCertificate\$1 APIPassthrough /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webclient-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### EndEntityClientAuthCertificate\$1 /V1-Definition CSRPassthrough
Diese Vorlage ist identisch mit der Vorlage `EndEntityClientAuthCertificate`, mit einem Unterschied: Übergibt in dieser Vorlage AWS Private CA zusätzliche Erweiterungen aus der Zertifikatsignieranforderung (CSR) an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.
**EndEntityClientAuthCertificate\$1 /V1 CSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webclient-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### EndEntityServerAuthCertificate/V1-Definition
Diese Vorlage unterscheidet sich von der Vorlage `EndEntityCertificate` nur durch den Wert für die erweiterte Schlüsselverwendung, der sie auf die TLS-Webserver-Authentifizierung beschränkt.
**EndEntityServerAuthCertificate/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webserver-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1-Definition
Diese Vorlage erweitert EndEntityServerAuthCertificate /V1 um die Unterstützung von API- und CSR-Passthrough-Werten.
**EndEntityServerAuthCertificateAPICSRPassthrough\$1 /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webserver-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### EndEntityServerAuthCertificate\$1 /V1-Definition APIPassthrough
Diese Vorlage ist identisch mit der Vorlage `EndEntityServerAuthCertificate`, mit einem Unterschied: Übergibt in dieser AWS Private CA Vorlage zusätzliche Erweiterungen über die API an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.
**EndEntityServerAuthCertificate\$1 APIPassthrough /V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webserver-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### EndEntityServerAuthCertificate\$1 /V1-Definition CSRPassthrough
Diese Vorlage ist identisch mit der Vorlage `EndEntityServerAuthCertificate`, mit einem Unterschied: Übergibt in dieser Vorlage AWS Private CA zusätzliche Erweiterungen aus der Zertifikatsignieranforderung (CSR) an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.
**EndEntityServerAuthCertificate\$1 /V1 CSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | CA:`FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur, Schlüsselverschlüsselung |
| Erweiterte Verwendung von Schlüsseln | TLS-Webserver-Authentifizierung |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### OCSPSigningZertifikat/V1-Definition
Diese Vorlage wird verwendet, um Zertifikate zum Signieren von OCSP-Antworten zu erstellen. Die Vorlage ist identisch mit der `CodeSigningCertificate` Vorlage, außer dass der Wert für die erweiterte Schlüsselverwendung die OCSP-Signierung anstelle der Codesignatur angibt.
**OCSPSigningZertifikat/V1**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | `CA:FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur |
| Erweiterte Verwendung von Schlüsseln | Kritisch, OCSP-Signatur |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### OCSPSigningDefinition von Certificate\$1 /V1 APICSRPassthrough
Diese Vorlage erweitert das OCSPSigning Zertifikat/V1-Format um die Unterstützung von API- und CSR-Passthrough-Werten.
**OCSPSigningCertificate\$1 /V1 APICSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | `CA:FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur |
| Erweiterte Verwendung von Schlüsseln | Kritisch, OCSP-Signatur |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### OCSPSigningDefinition von Certificate\$1 /V1 APIPassthrough
Diese Vorlage ist identisch mit der Vorlage `OCSPSigningCertificate`, mit einem Unterschied: Übergibt in dieser Vorlage AWS Private CA zusätzliche Erweiterungen über die API an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. In der Vorlage angegebene Erweiterungen haben immer Vorrang vor Erweiterungen in der API.
**OCSPSigningZertifikat\$1 /V1 APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | `CA:FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur |
| Erweiterte Verwendung von Schlüsseln | Kritisch, OCSP-Signatur |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### OCSPSigningDefinition von Certificate\$1 /V1 CSRPassthrough
Diese Vorlage ist identisch mit der Vorlage `OCSPSigningCertificate`, mit einem Unterschied: Übergibt in dieser Vorlage zusätzliche AWS Private CA Erweiterungen aus der Zertifikatsignieranforderung (CSR) an das Zertifikat, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.
**OCSPSigningCertificate\$1 /V1 CSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | `CA:FALSE` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritische, digitale Signatur |
| Erweiterte Verwendung von Schlüsseln | Kritisch, OCSP-Signatur |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatsperrlisten-Verteilungspunkte werden nur dann in die Vorlage aufgenommen, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlisten-Generierung konfiguriert ist.
### Root-/V1-Definition CACertificate
Diese Vorlage wird verwendet, um selbstsignierte CA-Zertifikate auszustellen. CA-Zertifikate enthalten eine Erweiterung für wichtige grundlegende Einschränkungen, wobei das CA-Feld so festgelegt ist, dass `TRUE` zum Ausstellen von CA-Zertifikaten verwendet werden kann. Die Vorlage gibt keine Pfadlänge ([pathLenConstraint](PcaTerms.md#terms-pathlength)) an, da dies eine future Erweiterung der Hierarchie verhindern könnte. Eine erweiterte Schlüsselverwendung ist ausgeschlossen, um die Verwendung des CA-Zertifikats als TLS-Client- oder Serverzertifikat zu verhindern. Es werden keine Zertifikatsperrlisteninformationen angegeben, da ein selbstsigniertes Zertifikat nicht widerrufen werden kann.
**Stamm /V1 CACertificate**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE` |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur keyCertSign, CRL-Zeichen |
| CRL-Verteilungspunkte | – |
### Definition von Root CACertificate \$1 APIPassthrough /V1
Diese Vorlage erweitert Root CACertificate /V1 um die Unterstützung von API-Passthrough-Werten.
**Root \$1 /V1 CACertificate APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE` |
| Schlüssel-ID der Behörde | [Passthrough von der API] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur keyCertSign, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | – |
### BlankRootCACertificate\$1 /V1-Definition APIPassthrough
Mit leeren Stammzertifikatvorlagen können Sie Stammzertifikate ausstellen, für die nur grundlegende X.509-Einschränkungen gelten. Dies ist das einfachste Stammzertifikat, das ausgestellt werden AWS Private CA kann, es kann jedoch mithilfe der API-Struktur angepasst werden. Die Erweiterung Basic Constraints definiert, ob es sich bei dem Zertifikat um ein CA-Zertifikat handelt oder nicht. Eine leere Stammzertifikatvorlage erzwingt einen Wert von `TRUE` vier Basiseinschränkungen, um sicherzustellen, dass ein Stammzertifizierungsstellenzertifikat ausgestellt wird.
Sie können leere Passthrough-Root-Vorlagen verwenden, um Stammzertifikate auszustellen, für die bestimmte Werte für die Schlüsselverwendung (KU) erforderlich sind. Beispielsweise kann für die Verwendung von Schlüsseln `keyCertSign` und erforderlich sein, dies ist `cRLSign` jedoch nicht `digitalSignature` der Fall. Im Gegensatz zu anderen Root-Passthrough-Zertifikatsvorlagen, die nicht leer sind, ermöglichen leere Stammzertifikatsvorlagen die Konfiguration der KU-Erweiterung, wobei KU für jeden der neun unterstützten Werte (`digitalSignature`,,`nonRepudiation`,,`keyEncipherment`,`dataEncipherment`, `keyAgreement` `keyCertSign` `cRLSign``encipherOnly`, und`decipherOnly`) stehen kann.
**BlankRootCACertificate\$1 /V1 APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE` |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
### BlankRootCACertificate\$1 PathLen 0\$1 /V1-Definition APIPassthrough
Allgemeine Informationen zu leeren Root-CA-Vorlagen finden Sie unter. [BlankRootCACertificate\$1 /V1-Definition APIPassthrough](#BlankRootCACertificate_APIPassthrough)
**BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 0` |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
### BlankRootCACertificate\$1 PathLen 1\$1 /V1-Definition APIPassthrough
Allgemeine Informationen zu leeren Root-CA-Vorlagen finden Sie unter. [BlankRootCACertificate\$1 /V1-Definition APIPassthrough](#BlankRootCACertificate_APIPassthrough)
**BlankRootCACertificate\$1 PathLen 1\$1 /V1 APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 1` |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
### BlankRootCACertificate\$1 PathLen 2\$1 /V1-Definition APIPassthrough
Allgemeine Informationen zu leeren Root-CA-Vorlagen finden Sie unter. [BlankRootCACertificate\$1 /V1-Definition APIPassthrough](#BlankRootCACertificate_APIPassthrough)
**BlankRootCACertificate\$1 PathLen 2\$1 /V1 APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 2` |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
### BlankRootCACertificate\$1 PathLen 3\$1 /V1-Definition APIPassthrough
Allgemeine Informationen zu leeren Root-CA-Vorlagen finden Sie unter. [BlankRootCACertificate\$1 /V1-Definition APIPassthrough](#BlankRootCACertificate_APIPassthrough)
**BlankRootCACertificate\$1 PathLen 3\$1 /V1 APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 3` |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
### Untergeordnete CACertificate \$1 0/V1-Definition PathLen
Diese Vorlage wird verwendet, um untergeordnete CA-Zertifikate mit einer Pfadlänge von auszustellen. `0` CA-Zertifikate enthalten eine Erweiterung für wichtige grundlegende Einschränkungen, wobei das CA-Feld so festgelegt ist, dass `TRUE` zum Ausstellen von CA-Zertifikaten verwendet werden kann. Die erweiterte Schlüsselverwendung ist nicht enthalten, wodurch verhindert wird, dass das CA-Zertifikat als TLS-Client- oder Serverzertifikat verwendet wird.
Mehr über Zertifizierungspfade erfahren Sie auf der Seite mit Informationen über das [Festlegen von Längenbeschränkungen für den Zertifizierungspfad](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Untergeordnetes \$1 0/V1 CACertificate PathLen**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 0` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1CRL-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt werden, wenn die Zertifizierungsstelle mit aktivierter CRL-Generierung konfiguriert ist.
### Untergeordnete \$1 0\$1 /V1-Definition CACertificate PathLen APICSRPassthrough
Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 0/V1 um die Unterstützung von API- und CSR-Passthrough-Werten.
**Subordinate \$1 0\$1 /V1 CACertificate PathLen APICSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 0` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### Untergeordnete CACertificate \$1 0\$1 /V1-Definition PathLen APIPassthrough
Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 0/V1 um die Unterstützung von API-Passthrough-Werten.
**Subordinate \$1 0\$1 /V1 CACertificate PathLen APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 0` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### Untergeordnete CACertificate \$1 0\$1 /V1-Definition PathLen CSRPassthrough
Diese Vorlage ist identisch mit der `SubordinateCACertificate_PathLen0` Vorlage, mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat AWS Private CA übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.
**Anmerkung**
Eine CSR, die benutzerdefinierte zusätzliche Erweiterungen enthält, muss außerhalb von erstellt werden. AWS Private CA
**Untergeordnet CACertificate \$1 0\$1 /V1 PathLen CSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 0` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.
### Untergeordnete \$1 1/V1-Definition CACertificate PathLen
Diese Vorlage wird verwendet, um untergeordnete CA-Zertifikate mit einer Pfadlänge von auszustellen. `1` CA-Zertifikate enthalten eine wichtige Erweiterung Basic Constraints, bei der das CA-Feld auf gesetzt ist, `TRUE` um anzugeben, dass das Zertifikat zur Ausstellung von CA-Zertifikaten verwendet werden kann. Die erweiterte Schlüsselverwendung ist nicht enthalten, wodurch verhindert wird, dass das CA-Zertifikat als TLS-Client- oder Serverzertifikat verwendet wird.
Mehr über Zertifizierungspfade erfahren Sie auf der Seite mit Informationen über das [Festlegen von Längenbeschränkungen für den Zertifizierungspfad](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Untergeordnet \$1 1/V1 CACertificate PathLen**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 1` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.
### Untergeordnete CACertificate \$1 PathLen 1\$1 /V1-Definition APICSRPassthrough
Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 1/V1 um die Unterstützung von API- und CSR-Passthrough-Werten.
**Subordinate \$1 1\$1 /V1 CACertificate PathLen APICSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 1` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### Untergeordnete CACertificate \$1 1\$1 /V1-Definition PathLen APIPassthrough
Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 0/V1 um die Unterstützung von API-Passthrough-Werten.
**Subordinate \$1 1\$1 /V1 CACertificate PathLen APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 1` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### Untergeordnete CACertificate \$1 1\$1 /V1-Definition PathLen CSRPassthrough
Diese Vorlage ist mit der `SubordinateCACertificate_PathLen1` Vorlage identisch, mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat AWS Private CA übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.
**Anmerkung**
Eine CSR, die benutzerdefinierte zusätzliche Erweiterungen enthält, muss außerhalb von erstellt werden. AWS Private CA
**Untergeordnet CACertificate \$1 1\$1 /V1 PathLen CSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 1` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.
### Untergeordnete \$1 2/V1-Definition CACertificate PathLen
Diese Vorlage wird verwendet, um untergeordnete CA-Zertifikate mit einer Pfadlänge von 2 auszustellen. CA-Zertifikate enthalten eine wichtige Erweiterung Basic Constraints, bei der das CA-Feld auf gesetzt ist, `TRUE` um anzugeben, dass das Zertifikat zur Ausstellung von CA-Zertifikaten verwendet werden kann. Die erweiterte Schlüsselverwendung ist nicht enthalten, wodurch verhindert wird, dass das CA-Zertifikat als TLS-Client- oder Serverzertifikat verwendet wird.
Mehr über Zertifizierungspfade erfahren Sie auf der Seite mit Informationen über das [Festlegen von Längenbeschränkungen für den Zertifizierungspfad](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Untergeordnet \$1 2/V1 CACertificate PathLen**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 2` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.
### Untergeordnete CACertificate \$1 PathLen 2\$1 /V1-Definition APICSRPassthrough
Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 2/V1 um die Unterstützung von API- und CSR-Passthrough-Werten.
**Subordinate \$1 2\$1 /V1 CACertificate PathLen APICSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 2` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### Untergeordnete CACertificate \$1 2\$1 /V1-Definition PathLen APIPassthrough
Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 2/V1 um die Unterstützung von API-Passthrough-Werten.
**Subordinate \$1 2\$1 /V1 CACertificate PathLen APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 2` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### Untergeordnete CACertificate \$1 2\$1 /V1-Definition PathLen CSRPassthrough
Diese Vorlage ist identisch mit der `SubordinateCACertificate_PathLen2` Vorlage, mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat AWS Private CA übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.
**Anmerkung**
Eine CSR, die benutzerdefinierte zusätzliche Erweiterungen enthält, muss außerhalb von erstellt werden. AWS Private CA
**Untergeordnetes CACertificate \$1 2\$1 /V1 PathLen CSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 2` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.
### Untergeordnete \$1 3/V1-Definition CACertificate PathLen
Diese Vorlage wird verwendet, um untergeordnete CA-Zertifikate mit einer Pfadlänge von 3 auszustellen. CA-Zertifikate enthalten eine wichtige Erweiterung Basic Constraints, bei der das CA-Feld auf gesetzt ist, `TRUE` um anzugeben, dass das Zertifikat zur Ausstellung von CA-Zertifikaten verwendet werden kann. Die erweiterte Schlüsselverwendung ist nicht enthalten, wodurch verhindert wird, dass das CA-Zertifikat als TLS-Client- oder Serverzertifikat verwendet wird.
Mehr über Zertifizierungspfade erfahren Sie auf der Seite mit Informationen über das [Festlegen von Längenbeschränkungen für den Zertifizierungspfad](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Untergeordnet \$1 3/V1 CACertificate PathLen**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 3` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.
### Untergeordnete CACertificate \$1 PathLen 3\$1 /V1-Definition APICSRPassthrough
Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 3/V1 um die Unterstützung von API- und CSR-Passthrough-Werten.
**Subordinate \$1 3\$1 /V1 CACertificate PathLen APICSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 3` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### Untergeordnete CACertificate \$1 3\$1 /V1-Definition PathLen APIPassthrough
Diese Vorlage erweitert Subordinate CACertificate \$1 PathLen 3/V1 um die Unterstützung von API-Passthrough-Werten.
**Subordinate \$1 3\$1 /V1 CACertificate PathLen APIPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Passthrough von API oder CSR] |
| Betreff | [Passthrough von API oder CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 3` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration] |
\$1 CRL-Verteilungspunkte sind nur dann in der Vorlage enthalten, wenn die CA mit aktivierter CRL-Generierung konfiguriert ist.
### Untergeordnete CACertificate \$1 3\$1 /V1-Definition PathLen CSRPassthrough
Diese Vorlage ist identisch mit der `SubordinateCACertificate_PathLen3` Vorlage, mit einem Unterschied: In dieser Vorlage werden zusätzliche Erweiterungen aus der Certificate Signing Request (CSR) an das Zertifikat AWS Private CA übergeben, wenn die Erweiterungen nicht in der Vorlage angegeben sind. Erweiterungen, die in der Vorlage angegeben sind, haben stets Vorrang vor Erweiterungen in der CSR.
**Anmerkung**
Eine CSR, die benutzerdefinierte zusätzliche Erweiterungen enthält, muss außerhalb von erstellt werden. AWS Private CA
**Untergeordnet CACertificate \$1 3\$1 /V1 PathLen CSRPassthrough**
| X509v3-Parameter | Wert |
| --- | --- |
| Alternativer Name des Betreffs | [Weiterleitung von CSR] |
| Betreff | [Passthrough von CSR] |
| Grundlegende Einschränkungen | kritisch, `CA:TRUE`, `pathlen: 3` |
| Schlüssel-ID der Behörde | [SKI aus dem CA-Zertifikat] |
| Schlüssel-ID für den Betreff | [Abgeleitet von CSR] |
| Schlüsselnutzung | Kritisch, digitale Signatur`keyCertSign`, CRL-Zeichen |
| CRL-Verteilungspunkte\$1 | [Passthrough aus der CA-Konfiguration oder CSR] |
\$1Zertifikatssperrlisten-Verteilungspunkte sind nur dann in Zertifikaten enthalten, die mit dieser Vorlage ausgestellt wurden, wenn die Zertifizierungsstelle mit aktivierter Zertifikatsperrlistengenerierung konfiguriert ist.