Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Emita y administre certificados en AWS Private CA
Una vez que haya creado y activado una entidad emisora de certificados (CA) privada y haya configurado el acceso a ella, usted o sus usuarios autorizados podrán emitir y gestionar los certificados. Si aún no ha configurado políticas AWS Identity and Access Management (IAM) para la CA, puede obtener más información sobre cómo configurarlas en la sección [Identity and Access Management](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html) de esta guía. Para obtener información sobre la configuración del acceso de CA en escenarios entre cuentas y en una sola cuenta, consulte [Controle el acceso a la CA privada](granting-ca-access.md).
**Topics**
+ [Emita certificados privados de entidad final](PcaIssueCert.md)
+ [Recupera un certificado privado](PcaGetCert.md)
+ [Enumere los certificados privados](PcaListCerts.md)
+ [Exporte un certificado privado y su clave secreta](export-in-acm.md)
+ [Revocar un certificado privado](PcaRevokeCert.md)
+ [Automatice la exportación de un certificado renovado](auto-export.md)
+ [Utilice plantillas de certificados AWS Private CA](UsingTemplates.md)
# Emita certificados privados de entidad final
Con una CA privada, puede solicitar certificados de entidad final privada a AWS Certificate Manager (ACM) o. Autoridad de certificación privada de AWS Las capacidades de ambos servicios se comparan en la siguiente tabla.
****
| Funcionalidad | ACM | Autoridad de certificación privada de AWS |
| --- | --- | --- |
| Emitir un certificado de entidad final | ✓ (utilizando [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) o la consola) | ✓ (utilizando [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)) |
| Asociación con balanceadores de carga y servicios conectados a Internet AWS | ✓ | No compatible |
| Renovación administrada de certificados | ✓ | [Con compatibilidad](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) indirecta a través de ACM |
| Soporte de consola | ✓ | No compatible |
| Compatibilidad con API | ✓ | ✓ |
| Compatibilidad con CLI | ✓ | ✓ |
Cuando Autoridad de certificación privada de AWS crea un certificado, sigue una plantilla que especifica el tipo de certificado y la longitud de la ruta. Si no se proporciona ningún ARN de plantilla a la instrucción API o CLI que crea el certificado, se aplica la plantilla [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) de forma predeterminada. Para obtener más información acerca de las plantillas de certificados disponibles, consulte [Utilice plantillas de certificados AWS Private CA](UsingTemplates.md).
Si bien los certificados ACM se diseñan en función de la confianza pública, satisfacen Autoridad de certificación privada de AWS las necesidades de su PKI privada. En consecuencia, puede configurar los certificados mediante la Autoridad de certificación privada de AWS API y la CLI de formas no permitidas por ACM. Estos incluyen los siguientes:
+ Cree un certificado con cualquier nombre de sujeto.
+ Utilizar cualquier [algoritmo de clave privada y cualquier longitud de clave que sean compatibles](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Mediante cualquiera de los [algoritmos de firma compatibles](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Especificar cualquier periodo de validez para la [CA](PcaCreateCa.html) privada y los [certificados](PcaIssueCert.html) privados.
Tras crear un certificado TLS privado con él Autoridad de certificación privada de AWS, puede [importarlo](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) a ACM y utilizarlo con un servicio compatible. AWS
**nota**
Los certificados creados con el siguiente procedimiento, mediante el **issue-certificate** comando o con la acción de la [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API, no se pueden exportar directamente para su uso externo. AWS Sin embargo, puede usar su CA privada para firmar los certificados emitidos a través de ACM y esos certificados se pueden exportar junto con sus claves secretas. Para obtener más información, consulte [Solicitar un certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) y [Exportar un certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) en la *Guía del usuario de ACM*.
## Emita un certificado estándar (AWS CLI)
Puede usar el comando [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) de la Autoridad de certificación privada de AWS CLI o la acción de la API [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)para solicitar un certificado de entidad final. Este comando necesita el nombre de recurso de Amazon (ARN) de la CA privada que desea utilizar para emitir el certificado. También debe generar una solicitud de firma de certificado (CSR) mediante un programa como [OpenSSL](https://www.openssl.org/).
Si usa la Autoridad de certificación privada de AWS API o AWS CLI emite un certificado privado, el certificado no se administra, lo que significa que no puede usar la consola ACM, la CLI de ACM o la API de ACM para verlo o exportarlo, y el certificado no se renueva automáticamente. Sin embargo, puede usar el comando PCA [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) para recuperar los detalles del certificado y, si es propietario de la CA, puede crear un [informe de auditoría](PcaAuditReport.md).
**Consideraciones sobre la creación de certificados**
+ En conformidad con [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), la longitud del nombre de dominio (técnicamente, el nombre común) que proporcione no puede superar los 64 octetos (caracteres), incluidos los puntos. Para agregar un nombre de dominio más largo, especifíquelo en el campo Nombre alternativo del asunto, que admite nombres de hasta 253 octetos de longitud.
+ Si utiliza la AWS CLI versión 1.6.3 o posterior, utilice el prefijo `fileb://` al especificar los archivos de entrada codificados en base64, como. CSRs Esto garantiza que se analizan los datos correctamente Autoridad de certificación privada de AWS .
El siguiente comando de OpenSSL genera una CSR y una clave privada para un certificado:
```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```
Puede inspeccionar el contenido de la CSR de la siguiente manera:
```
$ openssl req -in csr.pem -text -noout
```
El resultado debe parecerse al siguiente ejemplo abreviado:
```
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Big Org, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
...
aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
d3:63
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha256WithRSAEncryption
74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
....
3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
0b:53:e5:22
```
El siguiente comando crea un certificado. Como no se especifica ninguna plantilla, se emite un certificado de entidad final base de forma predeterminada.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--csr fileb://csr.pem \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=365,Type="DAYS"
```
Se devuelve el ARN del certificado emitido:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
**nota**
Autoridad de certificación privada de AWS devuelve inmediatamente un ARN con un número de serie cuando recibe el **issue-certificate** comando. Sin embargo, el procesamiento del certificado se realiza de forma asíncrona y, aun así, puede fallar. Si esto ocurre, un comando **get-certificate** que utilice el nuevo ARN también fallará.
## Emita un certificado con un nombre de asunto personalizado mediante una plantilla APIPassthrough
En este ejemplo, se emite un certificado que contiene elementos de nombre de asunto personalizados. Además de proporcionar una CSR como la que aparece en[Emita un certificado estándar (AWS CLI)](#IssueCertCli), se pasan dos argumentos adicionales al **issue-certificate** comando: el ARN de APIPassthrough una plantilla y un archivo de configuración JSON que especifica los atributos personalizados y sus identificadores OIDs de objeto (). No puedes usarlo `StandardAttributes` junto con`CustomAttributes`. Sin embargo, puedes pasar el estándar OIDs como parte de. `CustomAttributes` El nombre OIDs del asunto predeterminado aparece en la siguiente tabla (información de la [RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) y de la [base de datos de referencia global OID](https://oidref.com)):
| Nombre del asunto | Abreviatura | ID de objeto |
| --- | --- | --- |
| countryName | c | 2.5.4.6 |
| CommonName | cn | 2.5.4.3 |
| dnQualifier [calificador de nombre distintivo] | | 2.5.4,46 |
| generationQualifier | | 2.5.4,44 |
| givenName | | 2.5.4,42 |
| initials | | 2.5.4,43 |
| locality | l | 2.5.4.7 |
| organizationName | o | 2.5.4,10 |
| organizationalUnitName | ou | 2.5.4,11 |
| pseudonym | | 2.5.4,65 |
| serialNumber | | 2.5.4.5 |
| st [estado] | | 2.5.4.8 |
| surname | sn | 2.5.4.4 |
| título | | 2.5.4.12 |
| domainComponent | dc | 0,9,234,19200300.100,1,25 |
| userid | | 0,9,2342 19200300.1001.1 |
El archivo de configuración de ejemplo `api_passthrough_config.txt` contiene el código siguiente:
```
{
"Subject": {
"CustomAttributes": [
{
"ObjectIdentifier": "2.5.4.6",
"Value": "US"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
"Value": "BCDABCDA12341234"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
"Value": "CDABCDAB12341234"
}
]
}
}
```
Escriba el siguiente comando para extraer el certificado:
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
Se devuelve el ARN del certificado emitido:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
Recupere el certificado localmente de la siguiente manera:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
Puede inspeccionar el contenido del certificado mediante OpenSSL:
```
$ openssl x509 -in cert.pem -text -noout
```
**nota**
También es posible crear una CA privada que transfiera atributos personalizados a cada certificado que emita.
## Emita un certificado con extensiones personalizadas mediante una plantilla APIPassthrough
En este ejemplo, se emite un certificado que contiene extensiones personalizadas. Para ello, debe pasar tres argumentos al **issue-certificate** comando: el ARN de una APIPassthrough plantilla y un archivo de configuración JSON que especifica las extensiones personalizadas, y una CSR como la que se muestra en. [Emita un certificado estándar (AWS CLI)](#IssueCertCli)
El archivo de configuración de ejemplo `api_passthrough_config.txt` contiene el código siguiente:
```
{
"Extensions": {
"CustomExtensions": [
{
"ObjectIdentifier": "2.5.29.30",
"Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
"Critical": true
}
]
}
}
```
El certificado personalizado se emite de la siguiente manera:
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
Se devuelve el ARN del certificado emitido:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
Recupere el certificado localmente de la siguiente manera:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
Puede inspeccionar el contenido del certificado mediante OpenSSL:
```
$ openssl x509 -in cert.pem -text -noout
```
# Recupera un certificado privado
Puede utilizar la Autoridad de certificación privada de AWS API y AWS CLI emitir un certificado privado. Si lo hace, puede usar la Autoridad de certificación privada de AWS API AWS CLI o para recuperar ese certificado. Si utilizó ACM para crear una CA privada y para solicitar certificados, debe utilizar ACM para exportar el certificado y la clave privada cifrada. Para obtener más información, consulte [Exportación de un certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).
**Para recuperar un certificado de entidad final**
Use el AWS CLI comando [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) para recuperar un certificado de entidad final privada. También puede utilizar la operación de API. [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html) Recomendamos formatear el resultado con [jq](https://stedolan.github.io/jq/), un analizador similar a un set.
**nota**
Si desea revocar un certificado, puede utilizar el comando **get-certificate** para recuperar el número de serie en formato hexadecimal. También puede crear un informe de auditoría para recuperarlo. Para obtener más información, consulte [Utilice los informes de auditoría con su CA privada](PcaAuditReport.md).
```
$ aws acm-pca get-certificate \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
jq -r '.Certificate, .CertificateChain'
```
Este comando genera el certificado y la cadena de certificados con formato estándar.
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
**Para recuperar el certificado de una CA**
Puede usar la Autoridad de certificación privada de AWS API AWS CLI para recuperar el certificado de la autoridad de certificación (CA) de su CA privada. Ejecute el comando [get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html). También puede llamar a la operación [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html). Recomendamos formatear el resultado con [jq](https://stedolan.github.io/jq/), un analizador similar a un set.
```
$ aws acm-pca get-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
| jq -r '.Certificate'
```
Este comando genera el certificado de CA con formato estándar.
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
# Enumere los certificados privados
Para enumerar sus certificados privados, genere un informe de auditoría, extráigalo de su bucket de S3 y analice el contenido del informe según sea necesario. Para obtener más información sobre cómo crear los informes de auditoría de Autoridad de certificación privada de AWS , consulte [Utilice los informes de auditoría con su CA privada](PcaAuditReport.md). Para obtener más información sobre cómo recuperar un objeto de un bucket de S3, consulte [Descargar un objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Los siguientes ejemplos ilustran los enfoques para crear informes de auditoría y analizarlos para obtener datos útiles. Los resultados se formatean en JSON y los datos se filtran con [jq](https://stedolan.github.io/jq/), un analizador similar a un sed.
**1. Creación de un informe de auditoría.**
El siguiente comando genera un informe de auditoría para una CA específica.
```
$ aws acm-pca create-certificate-authority-audit-report \
--region region \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON
```
Si se ejecuta correctamente, el comando devuelve el ID y la ubicación del nuevo informe de auditoría.
```
{
"AuditReportId":"audit_report_ID",
"S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```
**2. Recupera y formatea un informe de auditoría.**
Este comando recupera un informe de auditoría, muestra su contenido en una salida estándar y filtra los resultados para mostrar solo los certificados emitidos a partir del 1 de diciembre de 2020.
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json \
/dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```
Los elementos devueltos arrojaron los siguientes resultados:
```
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**3. Guarde un informe de auditoría localmente.**
Si desea realizar varias consultas, es conveniente guardar un informe de auditoría en un archivo local.
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```
El mismo filtro que antes produce el mismo resultado:
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**4. Consulta dentro de un intervalo de fechas**
Puede consultar los certificados emitidos dentro de un intervalo de fechas de la siguiente manera:
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```
El contenido filtrado se muestra en la salida estándar:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**5. Busque certificados siguiendo una plantilla especificada.**
El siguiente comando filtra el contenido del informe mediante una plantilla ARN:
```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```
El resultado muestra los registros de certificados coincidentes:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```
**6. Filtrar los certificados revocados**
Para encontrar todos los certificados revocados, ejecute el siguiente comando:
```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```
Un certificado revocado se muestra de la siguiente manera:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"revokedAt": "2021-05-27T18:57:32+0000",
"revocationReason": "UNSPECIFIED",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**7. Filtración mediante una expresión regular.**
El siguiente comando busca los nombres de los asuntos que contienen la cadena “hoja”:
```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```
Los registros de certificados coincidentes se devuelven de la siguiente manera:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.roo2.leaf4",
"notBefore": "2020-11-16T18:17:10+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-16T19:17:12+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf5",
"notBefore": "2020-12-21T21:28:09+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-12-21T22:28:09+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
# Exporte un certificado privado y su clave secreta
Autoridad de certificación privada de AWS no puede exportar directamente un certificado privado que haya firmado y emitido. Sin embargo, puede utilizarlo AWS Certificate Manager para exportar dicho certificado junto con su clave secreta cifrada. De este modo, el certificado es completamente portátil para su implementación en cualquier lugar de su PKI privada. Para obtener más información, consulte [Exportación de un certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) en la Guía del AWS Certificate Manager usuario.
Como ventaja adicional, AWS Certificate Manager ofrece la renovación gestionada de los certificados privados que se emitieron mediante la consola ACM, la `RequestCertificate` acción de la API de ACM o el **request-certificate** comando de la sección ACM del. AWS CLI Para obtener más información sobre las renovaciones, consulte [Renovación de certificados en una PKI privada](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html).
# Revocar un certificado privado
Puede revocar un Autoridad de certificación privada de AWS certificado mediante el AWS CLI comando [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) o la acción de la API. [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) Es posible que sea necesario revocar un certificado antes de su caducidad programada si, por ejemplo, su clave secreta está comprometida o su dominio asociado deja de ser válido. Para que la revocación sea efectiva, el cliente que utilice el certificado necesita una forma de comprobar el estado de la revocación siempre que intente crear una conexión de red segura.
Autoridad de certificación privada de AWS proporciona dos mecanismos totalmente gestionados que permiten comprobar el estado de las revocaciones: el Protocolo de estado de certificados en línea (OCSP) y las listas de revocación de certificados (). CRLs Con el OCSP, el cliente consulta una base de datos de revocaciones autorizada que devuelve un estado en tiempo real. Con una CRL, el cliente compara el certificado con una lista de certificados revocados que descarga y almacena periódicamente. Los clientes se niegan a aceptar certificados que han sido revocados.
Tanto el OCSP como el OCSP CRLs dependen de la información de validación incluida en los certificados. Por este motivo, la CA emisora debe configurarse para admitir uno de estos mecanismos o ambos antes de su emisión. Para obtener información sobre cómo seleccionar e implementar la revocación gestionada mediante Autoridad de certificación privada de AWS, consulte. [Planifique el método de revocación AWS Private CA de su certificado](revocation-setup.md)
Los certificados revocados siempre se registran en los informes de Autoridad de certificación privada de AWS auditoría.
**nota**
Para las personas que llaman desde varias cuentas, es necesario compartirlos con el `AWSRAMRevokeCertificateCertificateAuthority` permiso correspondiente. Los permisos de revocación no están incluidos en. `AWSRAMDefaultPermissionCertificateAuthority` Para permitir la revocación por parte de los emisores de varias cuentas, el administrador de la CA debe crear dos comparticiones de RAM, ambas dirigidas a la misma CA:
Un recurso compartido con el permiso `AWSRAMRevokeCertificateCertificateAuthority`.
Un recurso compartido con el permiso `AWSRAMDefaultPermissionCertificateAuthority`.
**Para revocar un certificado**
Utilice la acción de la [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API o el comando [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) para revocar un certificado de PKI privado. El número de serie debe estar en formato hexadecimal. Puede recuperar el número de serie llamando al comando [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html). El comando `revoke-certificate` no devuelve ninguna respuesta.
```
$ aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-serial serial_number \
--revocation-reason "KEY_COMPROMISE"
```
## Certificados y OCSP revocados
Cuando se revoca un certificado, las respuestas del OCSP pueden tardar hasta 60 minutos en reflejar el nuevo estado. En general, el OCSP suele permitir una distribución más rápida de la información de revocación porque, a diferencia de CRLs lo que los clientes pueden almacenar en caché durante días, los clientes no suelen almacenar en caché las respuestas de OCSP.
## Certificados revocados en una CRL
Las CRL se actualizan aproximadamente 30 minutos después de que un certificado se revoque. Si por alguna razón se produce un error en la actualización de la CRL, Autoridad de certificación privada de AWS realiza nuevos intentos cada 15 minutos.
Con Amazon CloudWatch, puedes crear alarmas para las métricas `CRLGenerated` y`MisconfiguredCRLBucket`. Para obtener más información, consulta [ CloudWatchMétricas compatibles](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html). Para obtener más información sobre la creación y la configuración CRLs, consulte[Configura una CRL para AWS Private CA](crl-planning.md).
En el siguiente ejemplo, se muestra un certificado revocado de una lista de revocación de certificados (CRL).
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
```
## Certificados revocados en un informe de auditoría
Todos los certificados, incluidos los que se han revocado, se incluyen en el informe de auditoría de una CA privada. En el ejemplo siguiente, se muestra un informe de auditoría con un certificado emitido y un certificado revocado. Para obtener más información, consulte [Utilice los informes de auditoría con su CA privada](PcaAuditReport.md).
```
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]
```
# Automatice la exportación de un certificado renovado
Al Autoridad de certificación privada de AWS crear una CA, puede importarla AWS Certificate Manager y dejar que ACM gestione la emisión y renovación de los certificados. Si un certificado que se está renovando está asociado a un [servicio integrado](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html), el servicio se aplica el nuevo certificado sin problemas. Sin embargo, si el certificado se [exportó](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) originalmente para usarlo en otro lugar de su entorno de PKI (por ejemplo, en un servidor o dispositivo en las instalaciones), tendrá que volver a exportarlo después de la renovación.
Para ver un ejemplo de solución que automatiza el proceso de exportación de ACM mediante Amazon y EventBridge AWS Lambda, consulte [Automatizar la exportación de certificados renovados](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export).
# Utilice plantillas de certificados AWS Private CA
Autoridad de certificación privada de AWS utiliza plantillas de configuración para emitir certificados de CA y certificados de entidad final. Al emitir un certificado de CA desde la consola de PCA, se aplica automáticamente la plantilla de certificado de CA raíz o subordinada correspondiente.
Si utiliza la CLI o la API para emitir un certificado, puede proporcionar una plantilla ARN como parámetro de la acción `IssueCertificate`. La plantilla `EndEntityCertificate/V1` se aplica si no proporciona un ARN. Para obtener más información, consulte la documentación sobre la [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API y los [comandos issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html).
**nota**
AWS Certificate Manager (ACM) los usuarios con acceso compartido entre cuentas a una CA privada pueden emitir certificados gestionados firmados por la CA. Los emisores multicuentas están limitados por una política basada en los recursos y solo tienen acceso a las siguientes plantillas de certificados de entidad final:
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1 /V1 APIPassthrough](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[Subordinado \$1 0/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
Para obtener más información, consulte [Políticas basadas en recursos](pca-rbp.md).
**Topics**
+ [AWS Private CA variedades de plantillas](template-varieties.md)
+ [AWS Private CA orden de operaciones de la plantilla](template-order-of-operations.md)
+ [AWS Private CA definiciones de plantillas](template-definitions.md)
# AWS Private CA variedades de plantillas
Autoridad de certificación privada de AWS admite cuatro tipos de plantillas.
+ **Plantillas base**
Plantillas predefinidas en las que no se permiten parámetros de acceso directo.
+ **CSRPassthrough plantillas**
Plantillas que amplían sus versiones de plantillas base correspondientes al permitir el acceso directo de CSR. Las extensiones de la CSR que se utilizan para emitir el certificado se copian en el certificado emitido. En los casos en que la CSR contenga valores de extensión que entren en conflicto con la definición de la plantilla, esta siempre tendrá la mayor prioridad. Para obtener más información sobre la prioridad, consulte [AWS Private CA orden de operaciones de la plantillaOrden de operaciones de la plantilla](template-order-of-operations.md).
+ **APIPassthrough plantillas**
Plantillas que amplían sus versiones de plantillas base correspondientes al permitir el acceso directo de API. Es posible que la entidad que solicita el certificado no conozca los valores dinámicos que el administrador u otros sistemas intermedios conocen, que no se puedan definir en una plantilla y que no estén disponibles en la CSR. Sin embargo, el administrador de la CA puede recuperar información adicional de otro origen de datos, como un Active Directory, para completar la solicitud. Por ejemplo, si una máquina no sabe a qué unidad organizativa pertenece, el administrador puede buscar la información en Active Directory y añadirla a la solicitud de certificado incluyendo la información en una estructura JSON.
Los valores del parámetro `ApiPassthrough` de la acción `IssueCertificate` ``se copian en el certificado emitido. En los casos en que el parámetro `ApiPassthrough` contenga valores de extensión que entren en conflicto con la definición de la plantilla, esta siempre tendrá la mayor prioridad. Para obtener más información sobre la prioridad, consulte [AWS Private CA orden de operaciones de la plantillaOrden de operaciones de la plantilla](template-order-of-operations.md).
+ **APICSRPassthrough plantillas**
Plantillas que amplían sus versiones de plantillas base correspondientes al permitir el acceso directo de API y CSR. Las extensiones de la CSR utilizadas para emitir el certificado se copian en el certificado emitido y también se copian los valores del parámetro `ApiPassthrough` de la acción `IssueCertificate`. En los casos en que la definición de la plantilla, los valores de transferencia de la API y las extensiones de transferencia de la CSR presentan un conflicto, la definición de la plantilla tiene la máxima prioridad, seguida de los valores de acceso directo de la API y, a continuación, de las extensiones de acceso directo de la CSR. Para obtener más información sobre la prioridad, consulte [AWS Private CA orden de operaciones de la plantillaOrden de operaciones de la plantilla](template-order-of-operations.md).
En las tablas siguientes se enumeran todos los tipos de plantillas compatibles Autoridad de certificación privada de AWS con enlaces a sus definiciones.
**nota**
Para obtener información sobre las plantillas ARNs en GovCloud las regiones, consulte [AWS Private Certificate Authority](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)la *Guía del AWS GovCloud (US) usuario*.
**Plantillas base**
| Nombre de la plantilla | ARN de plantilla | Tipo de certificado |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | Firma de código |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | Entidad final |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | Entidad final |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | Entidad final |
| [OCSPSigningCertificado/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | Firma de OCSP |
| [Raíz /V1 CACertificate](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [Subordinado \$1 0/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [Subordinado \$1 1/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [Subordinado \$1 2/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [Subordinado \$1 3/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough plantillas**
| Nombre de la plantilla | ARN de plantilla | Tipo de certificado |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | Entidad final |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 CSRPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | Entidad final |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificate\$1 /V1 CSRPassthrough](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | Firma de código |
| [EndEntityCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | Entidad final |
| [EndEntityClientAuthCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | Entidad final |
| [EndEntityServerAuthCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | Entidad final |
| [OCSPSigningCertificado\$1 /V1 CSRPassthrough](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | Firma de OCSP |
| [Subordinado \$1 0\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [Subordinado \$1 1\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [Subordinado \$1 2\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [Subordinado \$1 3\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough plantillas**
| Nombre de la plantilla | ARN de plantilla | Tipo de certificado |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | Entidad final |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 APIPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | Entidad final |
| [CodeSigningCertificate\$1 /V1 APIPassthrough](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | Firma de código |
| [EndEntityCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | Entidad final |
| [EndEntityClientAuthCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | Entidad final |
| [EndEntityServerAuthCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | Entidad final |
| [OCSPSigningCertificado\$1 /V1 APIPassthrough](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | Firma de OCSP |
| [Raíz \$1 /V1 CACertificate APIPassthrough](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 1\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 2\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 3\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [Subordinado \$1 0\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [Subordinado \$1 1\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [Subordinado \$1 2\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [Subordinado \$1 3\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough plantillas**
| Nombre de la plantilla | ARN de plantilla | Tipo de certificado |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | Entidad final |
| | | |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 APICSRPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | Entidad final |
| [CodeSigningCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | Firma de código |
| [EndEntityCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | Entidad final |
| [EndEntityClientAuthCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | Entidad final |
| [EndEntityServerAuthCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | Entidad final |
| [OCSPSigningCertificado\$1 /V1 APICSRPassthrough](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | Firma de OCSP |
| [Subordinado \$1 0\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [Subordinado \$1 1\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [Subordinado CACertificate \$1 2\$1/3\$1 V1 PathLen APICSRPassthrough PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [Subordinado \$1 3\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS Private CA orden de operaciones de la plantilla
La información contenida en un certificado emitido puede proceder de cuatro fuentes: la definición de la plantilla, el acceso directo de la API, el acceso directo de la CSR y la configuración de la CA.
Los valores de acceso directo de API solo se respetan cuando se utiliza una plantilla de acceso directo de API o de acceso directo de APICSR. La transferencia CSR solo se respeta cuando se utiliza una plantilla de transferencia APICSR CSRPassthrough o APICSR. Cuando estas fuentes de información entran en conflicto, suele aplicarse una regla general: para cada valor de extensión, la definición de la plantilla tiene la máxima prioridad, seguida de los valores de acceso directo de la API y, a continuación, de las extensiones de acceso directo de la CSR.
**Ejemplos**
1. La definición de plantilla para [EndEntityClientAuthCertificate\$1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) define la ExtendedKeyUsage extensión con un valor de «autenticación de servidor web TLS, autenticación de cliente web TLS». Si ExtendedKeyUsage está definido en la CSR o en el `IssueCertificate` `ApiPassthrough` parámetro, el `ApiPassthrough` valor de se ExtendedKeyUsage omitirá porque la definición de la plantilla tiene prioridad, y el valor de la CSR se ignorará porque la plantilla no es del tipo de transferencia de CSR. ExtendedKeyUsage
**nota**
No obstante, la definición de la plantilla copia otros valores de la CSR, como el asunto y el nombre alternativo del asunto. Estos valores siguen tomándose de la CSR, aunque la plantilla no sea de tipo acceso directo de CSR, ya que la definición de la plantilla siempre tiene la máxima prioridad.
1. La definición de plantilla para [EndEntityClientAuthCertificate\$1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) define la extensión del nombre alternativo del sujeto (SAN) como una copia de la API o la CSR. Si la extensión SAN se define en la CSR y se proporciona en el parámetro `IssueCertificate` ` ApiPassthrough`, el valor de transferencia de la API tendrá prioridad, ya que los valores de acceso directo de la API tienen prioridad sobre los valores de acceso directo de la CSR.
# AWS Private CA definiciones de plantillas
En las siguientes secciones se proporcionan detalles de configuración sobre las plantillas de certificados de Autoridad de certificación privada de AWS compatibles.
## BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1
Con las plantillas de certificados de entidad final en blanco, puede emitir certificados de entidad final solo con las restricciones básicas de X.509. Este es el certificado de entidad final más simple que Autoridad de certificación privada de AWS se puede emitir, pero se puede personalizar mediante la estructura de la API. La extensión de restricciones básicas define si el certificado es o no un certificado de CA. Una plantilla de certificado de entidad final en blanco aplica el valor FALSE a las restricciones básicas para garantizar que se emita un certificado de entidad final y no un certificado de CA.
Puede usar plantillas de transferencia en blanco para emitir certificados de tarjetas inteligentes que requieran valores específicos para el uso de claves (KU) y el uso extendido de claves (EKU). Por ejemplo, el uso prolongado de claves puede requerir la autenticación del cliente y el inicio de sesión con tarjeta inteligente, y el uso de claves puede requerir la firma digital, el no rechazo y el cifrado de la clave. A diferencia de otras plantillas de transferencia, las plantillas de certificados de entidad final en blanco permiten configurar las extensiones KU y EKU, donde KU puede ser cualquiera de los nueve valores admitidos (DigitalSignature, NonRepudiation, KeyEnCipherment, DataEnCipherment keyCertSign, KeyAgreementRLSign, c, EnCipherOnly y DecipherOnly) y EKU puede ser cualquiera de los valores admitidos (ServerAuth, ClientAuth, codesign, EmailProtection, timestamping, y OCSPSigning) además de extensiones personalizadas.
**BlankEndEntityCertificateAPIPassthrough\$1/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | CA:FALSE |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
## BlankEndEntityCertificate\$1 APICSRPassthrough /V1 definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 /V1 APICSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | CA:FALSE |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
## BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1 definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 APICSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, CA:FALSE |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso a través de la configuración de CA, la API o la CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1 definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, CA:FALSE |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso a través de la configuración de CA o la API] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1 definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 /V1 CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, CA:FALSE |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankEndEntityCertificate\$1 CSRPassthrough /V1 definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 /V1 CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | CA:FALSE |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 0` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 0` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 0` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 1` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 1` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 1` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 2` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 2` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 2` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 3` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 3` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1definición
Para obtener información general sobre las plantillas en blanco, consulte [BlankEndEntityCertificateDefinición de APIPassthrough \$1/V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 3` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### CodeSigningCertificatedefinición de /V1
Esta plantilla se utiliza para crear certificados para la firma de código. Puede utilizar certificados de firma de código Autoridad de certificación privada de AWS con cualquier solución de firma de código que se base en una infraestructura de CA privada. Por ejemplo, los clientes que utilizan Code Signing for AWS IoT pueden generar un certificado de firma de código e importarlo a. Autoridad de certificación privada de AWS AWS Certificate Manager Para obtener más información, consulte [¿Para qué sirve la firma de código? AWS IoT](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) y [obtenga e importe un certificado de firma de código](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html).
**CodeSigningCertificate/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | `CA:FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítica, firma digital |
| Uso extendido de claves | Crítico, firma de código |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### CodeSigningCertificate\$1 APICSRPassthrough /V1 definición
Esta plantilla amplía CodeSigningCertificate /V1 para admitir los valores de transferencia de API y CSR.
**CodeSigningCertificateAPICSRPassthrough\$1 /V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | `CA:FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítica, firma digital |
| Uso extendido de claves | Crítico, firma de código |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### CodeSigningCertificate\$1 APIPassthrough /V1 definición
Esta plantilla es idéntica a la `CodeSigningCertificate` plantilla con una diferencia: en esta plantilla, Autoridad de certificación privada de AWS pasa extensiones adicionales a través de la API al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la API.
**CodeSigningCertificate\$1 APIPassthrough /V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | `CA:FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítica, firma digital |
| Uso extendido de claves | Crítico, firma de código |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### CodeSigningCertificate\$1 CSRPassthrough /V1 definición
Esta plantilla es idéntica a la `CodeSigningCertificate` plantilla con una diferencia: en esta plantilla, Autoridad de certificación privada de AWS transfiere extensiones adicionales de la solicitud de firma de certificado (CSR) al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la CSR.
**CodeSigningCertificate\$1 /V1 CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | `CA:FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítica, firma digital |
| Uso extendido de claves | Crítico, firma de código |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityCertificateDefinición de /V1
Esta plantilla se utiliza para crear certificados para entidades finales como sistemas operativos o servidores web.
**EndEntityCertificate/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación de servidor web de TLS, autenticación de cliente web TLS |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityCertificate\$1 APICSRPassthrough /V1 definición
Esta plantilla amplía EndEntityCertificate /V1 para admitir los valores de transferencia de API y CSR.
**EndEntityCertificateAPICSRPassthrough\$1 /V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación de servidor web de TLS, autenticación de cliente web TLS |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityCertificate\$1 APIPassthrough /V1 definición
Esta plantilla es idéntica a la `EndEntityCertificate` plantilla con una diferencia: en esta plantilla, Autoridad de certificación privada de AWS pasa extensiones adicionales a través de la API al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la API.
**EndEntityCertificate\$1 APIPassthrough /V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación de servidor web de TLS, autenticación de cliente web TLS |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityCertificate\$1 CSRPassthrough /V1 definición
Esta plantilla es idéntica a la `EndEntityCertificate` plantilla con una diferencia: en esta plantilla, Autoridad de certificación privada de AWS transfiere extensiones adicionales de la solicitud de firma de certificado (CSR) al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la CSR.
**EndEntityCertificate\$1 /V1 CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación de servidor web de TLS, autenticación de cliente web TLS |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityClientAuthCertificateDefinición de /V1
Esta plantilla difiere de la `EndEntityCertificate` solo en el valor de uso de clave extendida, que la restringe a la autenticación de cliente web TLS.
**EndEntityClientAuthCertificate/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación de cliente web de TLS |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1 definición
Esta plantilla amplía EndEntityClientAuthCertificate /V1 para admitir los valores de transferencia de API y CSR.
**EndEntityClientAuthCertificateAPICSRPassthrough\$1 /V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación de cliente web de TLS |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityClientAuthCertificate\$1 APIPassthrough /V1 definición
Esta plantilla es idéntica a la plantilla `EndEntityClientAuthCertificate` con una diferencia. En esta plantilla, Autoridad de certificación privada de AWS pasa extensiones adicionales a través de la API al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la API.
**EndEntityClientAuthCertificate\$1 APIPassthrough /V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación de cliente web de TLS |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityClientAuthCertificate\$1 CSRPassthrough /V1 definición
Esta plantilla es idéntica a la plantilla `EndEntityClientAuthCertificate` con una diferencia. En esta plantilla, Autoridad de certificación privada de AWS transfiere extensiones adicionales de la solicitud de firma de certificado (CSR) al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la CSR.
**EndEntityClientAuthCertificate\$1 /V1 CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación de cliente web de TLS |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityServerAuthCertificateDefinición de /V1
Esta plantilla difiere de la `EndEntityCertificate` solo en el valor de uso de clave extendida, que la restringe a la autenticación del servidor web TLS.
**EndEntityServerAuthCertificate/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación del servidor web de TLS |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1 definición
Esta plantilla amplía EndEntityServerAuthCertificate /V1 para admitir los valores de transferencia de API y CSR.
**EndEntityServerAuthCertificateAPICSRPassthrough\$1 /V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación del servidor web de TLS |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityServerAuthCertificate\$1 APIPassthrough /V1 definición
Esta plantilla es idéntica a la plantilla `EndEntityServerAuthCertificate` con una diferencia. En esta plantilla, Autoridad de certificación privada de AWS pasa extensiones adicionales a través de la API al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la API.
**EndEntityServerAuthCertificate\$1 APIPassthrough /V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación del servidor web de TLS |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### EndEntityServerAuthCertificate\$1 CSRPassthrough /V1 definición
Esta plantilla es idéntica a la plantilla `EndEntityServerAuthCertificate` con una diferencia. En esta plantilla, Autoridad de certificación privada de AWS transfiere extensiones adicionales de la solicitud de firma de certificado (CSR) al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la CSR.
**EndEntityServerAuthCertificate\$1 /V1 CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | entidad de certificación:`FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, cifrado de claves |
| Uso extendido de claves | Autenticación del servidor web de TLS |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### OCSPSigningDefinición de certificado/V1
Esta plantilla se utiliza para crear certificados para firmar respuestas OCSP. La plantilla es idéntica a la plantilla `CodeSigningCertificate`, excepto que el valor de uso de clave extendida especifica la firma OCSP en lugar de la firma de código.
**OCSPSigningCertificado/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | `CA:FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítica, firma digital |
| Uso extendido de claves | Crítico, firma de OCSP |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### OCSPSigningDefinición de certificado\$1/V1 APICSRPassthrough
Esta plantilla amplía el OCSPSigning Certificate/V1 para admitir los valores de transferencia de API y CSR.
**OCSPSigningAPICSRPassthroughCertificado\$1/V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | `CA:FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítica, firma digital |
| Uso extendido de claves | Crítico, firma de OCSP |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### OCSPSigningDefinición de certificado\$1 /V1 APIPassthrough
Esta plantilla es idéntica a la plantilla `OCSPSigningCertificate` con una diferencia. En esta plantilla, Autoridad de certificación privada de AWS pasa extensiones adicionales a través de la API al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la API.
**OCSPSigningCertificado\$1 /V1 APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | `CA:FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítica, firma digital |
| Uso extendido de claves | Crítico, firma de OCSP |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### OCSPSigningDefinición de certificado\$1 /V1 CSRPassthrough
Esta plantilla es idéntica a la plantilla `OCSPSigningCertificate` con una diferencia. En esta plantilla, Autoridad de certificación privada de AWS transfiere extensiones adicionales de la solicitud de firma de certificado (CSR) al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la CSR.
**OCSPSigningCertificado\$1 /V1 CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | `CA:FALSE` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítica, firma digital |
| Uso extendido de claves | Crítico, firma de OCSP |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de raíz /V1 CACertificate
Esta plantilla se utiliza para emitir certificados de entidad de certificación raíz autofirmados. Los certificados de entidad de certificación incluyen una extensión de restricciones básicas críticas con el campo de entidad de certificación establecido en `TRUE` para designar que el certificado se puede utilizar para emitir certificados de CA. La plantilla no especifica una longitud de ruta ([pathLenConstraint](PcaTerms.md#terms-pathlength)) porque esto podría inhibir la futura expansión de la jerarquía. Se excluye el uso extendido de claves para evitar el uso del certificado de entidad de certificación como certificado de servidor o cliente TLS. No se especifica información de CRL porque no se puede revocar un certificado autofirmado.
**Raíz CACertificate /V1**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE` |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Firma digital crítica keyCertSign, signo CRL |
| Punto de distribución de CRL | N/A |
### Definición de Root CACertificate APIPassthrough \$1/V1
Esta plantilla amplía Root CACertificate /V1 para admitir los valores de transferencia de la API.
**Root \$1/V1 CACertificate APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE` |
| Identificador de clave de entidad | [Acceso directo desde la API] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Firma digital crítica keyCertSign, signo CRL |
| Punto de distribución de CRL\$1 | N/A |
### BlankRootCACertificateDefinición de APIPassthrough \$1/V1
Con las plantillas de certificados raíz en blanco, puede emitir certificados raíz solo con las restricciones básicas del formato X.509. Este es el certificado raíz más simple que Autoridad de certificación privada de AWS se puede emitir, pero se puede personalizar mediante la estructura de la API. La extensión de restricciones básicas define si el certificado es o no un certificado de CA. Una plantilla de certificado raíz en blanco impone un valor de cuatro restricciones básicas `TRUE` para garantizar que se emita un certificado de CA raíz.
Puede utilizar plantillas raíz pasantes en blanco para emitir certificados raíz que requieran valores específicos para el uso de claves (KU). Por ejemplo, el uso de claves puede requerir `keyCertSign` y`cRLSign`, pero no`digitalSignature`. A diferencia de otras plantillas de certificados de transferencia raíz que no están en blanco, las plantillas de certificados raíz en blanco permiten configurar la extensión KU, donde KU puede ser cualquiera de los nueve valores admitidos (`digitalSignature``nonRepudiation``keyEncipherment`,`dataEncipherment`,`keyAgreement`,`keyCertSign`, `cRLSign``encipherOnly`, y`decipherOnly`).
**BlankRootCACertificate\$1 /V1 APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE` |
| Identificador de clave de asunto | [Derivado de CSR] |
### BlankRootCACertificate\$1 PathLen 0\$1 /V1 definición APIPassthrough
Para obtener información general sobre las plantillas de CA raíz vacías, consulte. [BlankRootCACertificateDefinición de APIPassthrough \$1/V1](#BlankRootCACertificate_APIPassthrough)
**BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 0` |
| Identificador de clave de asunto | [Derivado de CSR] |
### BlankRootCACertificate\$1 PathLen 1\$1 /V1 definición APIPassthrough
Para obtener información general sobre las plantillas de CA raíz en blanco, consulte. [BlankRootCACertificateDefinición de APIPassthrough \$1/V1](#BlankRootCACertificate_APIPassthrough)
**BlankRootCACertificate\$1 PathLen 1\$1 /V1 APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 1` |
| Identificador de clave de asunto | [Derivado de CSR] |
### BlankRootCACertificate\$1 PathLen 2\$1 /V1 definición APIPassthrough
Para obtener información general sobre las plantillas de CA raíz en blanco, consulte. [BlankRootCACertificateDefinición de APIPassthrough \$1/V1](#BlankRootCACertificate_APIPassthrough)
**BlankRootCACertificate\$1 PathLen 2\$1 /V1 APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 2` |
| Identificador de clave de asunto | [Derivado de CSR] |
### BlankRootCACertificate\$1 PathLen 3\$1 /V1 definición APIPassthrough
Para obtener información general sobre las plantillas de CA raíz en blanco, consulte. [BlankRootCACertificateDefinición de APIPassthrough \$1/V1](#BlankRootCACertificate_APIPassthrough)
**BlankRootCACertificate\$1 PathLen 3\$1 /V1 APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 3` |
| Identificador de clave de asunto | [Derivado de CSR] |
### Definición de subordinado \$1 0/V1 CACertificate PathLen
Esta plantilla se utiliza para emitir certificados de CA subordinados con una longitud de ruta de. `0` Los certificados de entidad de certificación incluyen una extensión de restricciones básicas críticas con el campo de entidad de certificación establecido en `TRUE` para designar que el certificado se puede utilizar para emitir certificados de CA. No se incluye el uso extendido de claves, lo que impide que el certificado de entidad de certificación se utilice como cliente TLS o certificado de servidor.
Para obtener más información acerca de las rutas de certificación, consulte [Definición de restricciones de longitud en la ruta de certificación](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Subordinado \$1 0/V1 CACertificate PathLen**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 0` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1Los puntos de distribución de CRL se incluyen en los certificados que se emiten con esta plantilla solo si la CA está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 0\$1 /V1 CACertificate PathLen APICSRPassthrough
Esta plantilla amplía Subordinate CACertificate \$1 PathLen 0/V1 para admitir los valores de transferencia de API y CSR.
**Subordinado \$1 0\$1 /V1 CACertificate PathLen APICSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 0` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 0\$1 /V1 CACertificate PathLen APIPassthrough
Esta plantilla amplía Subordinate CACertificate \$1 PathLen 0/V1 para admitir los valores de transferencia de la API.
**Subordinado \$1 0\$1 /V1 CACertificate PathLen APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 0` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 0\$1 /V1 CACertificate PathLen CSRPassthrough
Esta plantilla es idéntica a la `SubordinateCACertificate_PathLen0` plantilla con una diferencia: en esta plantilla, Autoridad de certificación privada de AWS transfiere las extensiones adicionales de la solicitud de firma de certificados (CSR) al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la CSR.
**nota**
Se debe crear una CSR que contenga extensiones adicionales personalizadas fuera de Autoridad de certificación privada de AWS.
**Subordinado CACertificate \$1 0\$1 /V1 PathLen CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 0` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en los certificados emitidos con esta plantilla sólo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 1/V1 CACertificate PathLen
Esta plantilla se utiliza para emitir certificados de CA subordinados con una longitud de ruta de. `1` Los certificados de entidad de certificación incluyen una extensión de restricciones básicas críticas con el campo de entidad de certificación establecido en `TRUE` para designar que el certificado se puede utilizar para emitir certificados de CA. No se incluye el uso extendido de claves, lo que impide que el certificado de entidad de certificación se utilice como cliente TLS o certificado de servidor.
Para obtener más información acerca de las rutas de certificación, consulte [Definición de restricciones de longitud en la ruta de certificación](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Subordinado \$1 1/V1 CACertificate PathLen**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 1` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1Los puntos de distribución de CRL se incluyen en los certificados emitidos con esta plantilla sólo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado CACertificate \$1 1\$1 /V1 PathLen APICSRPassthrough
Esta plantilla amplía Subordinate CACertificate \$1 PathLen 1/V1 para admitir los valores de transferencia de API y CSR.
**Subordinado \$1 1\$1 /V1 CACertificate PathLen APICSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 1` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 1\$1 /V1 CACertificate PathLen APIPassthrough
Esta plantilla amplía Subordinate CACertificate \$1 PathLen 0/V1 para admitir los valores de transferencia de la API.
**Subordinado \$1 1\$1 /V1 CACertificate PathLen APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 1` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 1\$1 /V1 CACertificate PathLen CSRPassthrough
Esta plantilla es idéntica a la `SubordinateCACertificate_PathLen1` plantilla con una diferencia: en esta plantilla, Autoridad de certificación privada de AWS transfiere las extensiones adicionales de la solicitud de firma de certificados (CSR) al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la CSR.
**nota**
Se debe crear una CSR que contenga extensiones adicionales personalizadas fuera de Autoridad de certificación privada de AWS.
**Subordinado CACertificate \$1 1\$1 /V1 PathLen CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 1` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en los certificados emitidos con esta plantilla sólo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 2/V1 CACertificate PathLen
Esta plantilla se utiliza para emitir certificados de entidad de certificación subordinada con una longitud de ruta de 2. Los certificados de entidad de certificación incluyen una extensión de restricciones básicas críticas con el campo de entidad de certificación establecido en `TRUE` para designar que el certificado se puede utilizar para emitir certificados de CA. No se incluye el uso extendido de claves, lo que impide que el certificado de entidad de certificación se utilice como cliente TLS o certificado de servidor.
Para obtener más información acerca de las rutas de certificación, consulte [Definición de restricciones de longitud en la ruta de certificación](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Subordinado \$1 2/V1 CACertificate PathLen**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 2` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1Los puntos de distribución de CRL se incluyen en los certificados emitidos con esta plantilla sólo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado CACertificate \$1 2\$1 /V1 PathLen APICSRPassthrough
Esta plantilla amplía Subordinate CACertificate \$1 PathLen 2/V1 para admitir los valores de transferencia de API y CSR.
**Subordinado \$1 2\$1 /V1 CACertificate PathLen APICSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 2` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 2\$1 /V1 CACertificate PathLen APIPassthrough
Esta plantilla amplía Subordinate CACertificate \$1 PathLen 2/V1 para admitir los valores de transferencia de la API.
**Subordinado \$1 2\$1 /V1 CACertificate PathLen APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 2` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 2\$1 /V1 CACertificate PathLen CSRPassthrough
Esta plantilla es idéntica a la `SubordinateCACertificate_PathLen2` plantilla con una diferencia: en esta plantilla, Autoridad de certificación privada de AWS transfiere las extensiones adicionales de la solicitud de firma de certificados (CSR) al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la CSR.
**nota**
Se debe crear una CSR que contenga extensiones adicionales personalizadas fuera de Autoridad de certificación privada de AWS.
**Subordinado CACertificate \$1 2\$1 /V1 PathLen CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 2` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en los certificados emitidos con esta plantilla sólo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 3/V1 CACertificate PathLen
Esta plantilla se utiliza para emitir certificados de entidad de certificación subordinada con una longitud de ruta de 3. Los certificados de entidad de certificación incluyen una extensión de restricciones básicas críticas con el campo de entidad de certificación establecido en `TRUE` para designar que el certificado se puede utilizar para emitir certificados de CA. No se incluye el uso extendido de claves, lo que impide que el certificado de entidad de certificación se utilice como cliente TLS o certificado de servidor.
Para obtener más información acerca de las rutas de certificación, consulte [Definición de restricciones de longitud en la ruta de certificación](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Subordinado \$1 3/V1 CACertificate PathLen**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 3` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1Los puntos de distribución de CRL se incluyen en los certificados emitidos con esta plantilla sólo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado CACertificate \$1 3\$1 /V1 PathLen APICSRPassthrough
Esta plantilla amplía Subordinate CACertificate \$1 PathLen 3/V1 para admitir los valores de transferencia de API y CSR.
**Subordinado \$1 3\$1 /V1 CACertificate PathLen APICSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 3` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 3\$1 /V1 CACertificate PathLen APIPassthrough
Esta plantilla amplía Subordinate CACertificate \$1 PathLen 3/V1 para admitir los valores de transferencia de la API.
**Subordinado \$1 3\$1 /V1 CACertificate PathLen APIPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde la API o la CSR] |
| Asunto | [Acceso directo desde la API o la CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 3` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo a través de la configuración de CA] |
\$1 Los puntos de distribución de CRL se incluyen en la plantilla solo si la entidad de certificación está configurada con la generación de CRL habilitada.
### Definición de subordinado \$1 3\$1 /V1 CACertificate PathLen CSRPassthrough
Esta plantilla es idéntica a la `SubordinateCACertificate_PathLen3` plantilla con una diferencia: en esta plantilla, Autoridad de certificación privada de AWS transfiere las extensiones adicionales de la solicitud de firma de certificados (CSR) al certificado si las extensiones no están especificadas en la plantilla. Las extensiones especificadas en la plantilla siempre anulan las extensiones en la CSR.
**nota**
Se debe crear una CSR que contenga extensiones adicionales personalizadas fuera de Autoridad de certificación privada de AWS.
**Subordinado CACertificate \$1 3\$1 /V1 PathLen CSRPassthrough**
| Parámetro X509v3 | Valor |
| --- | --- |
| Nombre alternativo de asunto | [Acceso directo desde CSR] |
| Asunto | [Acceso directo desde CSR] |
| Restricciones básicas | Crítico, `CA:TRUE`, `pathlen: 3` |
| Identificador de clave de entidad | [SKI del certificado de CA] |
| Identificador de clave de asunto | [Derivado de CSR] |
| Uso de clave | Crítico, firma digital, `keyCertSign`, firma de CRL |
| Punto de distribución de CRL\$1 | [Acceso directo desde la configuración de CA o CSR] |
\$1Los puntos de distribución de CRL se incluyen en los certificados emitidos con esta plantilla sólo si la entidad de certificación está configurada con la generación de CRL habilitada.