Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Émettre et gérer des certificats dans AWS CA privée
Après avoir créé et activé une autorité de certification (CA) privée et configuré l'accès à celle-ci, vous ou vos utilisateurs autorisés pouvez émettre et gérer des certificats. Si vous n'avez pas encore défini de politiques Gestion des identités et des accès AWS (IAM) pour l'autorité de certification, vous pouvez en savoir plus sur leur configuration dans la section [Identity and Access Management](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html) de ce guide. Pour plus d'informations sur la configuration de l'accès CA dans les scénarios à compte unique et multicompte, consultez. [Contrôler l'accès à l'autorité de certification privée](granting-ca-access.md)
**Topics**
+ [Émettre des certificats d'entité finale privés](PcaIssueCert.md)
+ [Récupérez un certificat privé](PcaGetCert.md)
+ [Répertorier les certificats privés](PcaListCerts.md)
+ [Exporter un certificat privé et sa clé secrète](export-in-acm.md)
+ [Révoquer un certificat privé](PcaRevokeCert.md)
+ [Automatiser l'exportation d'un certificat renouvelé](auto-export.md)
+ [Utiliser des modèles de AWS CA privée certificats](UsingTemplates.md)
# Émettre des certificats d'entité finale privés
Une fois qu'une autorité de certification privée est en place, vous pouvez demander des certificats d'entité finale privés à AWS Certificate Manager (ACM) ou à. Autorité de certification privée AWS Les fonctionnalités des deux services sont comparées dans le tableau suivant.
****
| Capacité | ACM | Autorité de certification privée AWS |
| --- | --- | --- |
| Émettre des certificats d'entité finale | ✓ (à l'aide [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)de la console) | ✓ (en utilisant [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)) |
| Association avec des équilibreurs de charge et des services connectés à Internet AWS | ✓ | Non pris en charge |
| Renouvellement géré des certificats | ✓ | [Soutenu](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) indirectement par ACM |
| Prise en charge de la console | ✓ | Non pris en charge |
| Prise en charge de l'API | ✓ | ✓ |
| Prise en charge de CLI | ✓ | ✓ |
Lors de Autorité de certification privée AWS la création d'un certificat, il suit un modèle qui spécifie le type de certificat et la longueur du chemin. Si aucun ARN de modèle n'est fourni à l'API ou à l'instruction CLI créant le certificat, le modèle [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) est appliqué par défaut. Pour de plus amples informations sur les modèles de certificats disponibles, veuillez consulter [Utiliser des modèles de AWS CA privée certificats](UsingTemplates.md).
Bien que les certificats ACM soient conçus autour de la confiance du public, Autorité de certification privée AWS ils répondent aux besoins de votre PKI privée. Par conséquent, vous pouvez configurer les certificats à l'aide de l' Autorité de certification privée AWS API et de la CLI d'une manière non autorisée par ACM. Cela inclut les éléments suivants :
+ Création d'un certificat avec n'importe quel nom de sujet.
+ En utilisant l'un des [algorithmes de clé privée et des longueurs de clé pris en charge](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ En utilisant l'un des [algorithmes de signature pris en charge](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Spécifier la période de validité de votre autorité de [certification](PcaCreateCa.html) privée et de vos [certificats](PcaIssueCert.html) privés.
Après avoir créé un certificat TLS privé à l'aide de Autorité de certification privée AWS, vous pouvez l'[importer](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) dans ACM et l'utiliser avec un service pris en charge AWS .
**Note**
Les certificats créés à l'aide de la procédure ci-dessous, à l'aide de la **issue-certificate** commande ou de l'action de l'[IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API ne peuvent pas être directement exportés pour être utilisés à l'extérieur AWS. Toutefois, vous pouvez utiliser votre autorité de certification privée pour signer les certificats émis via ACM, et ces certificats peuvent être exportés avec leurs clés secrètes. Pour plus d'informations, consultez les sections [Demande d'un certificat privé](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) et [Exportation d'un certificat privé](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) dans le *guide de l'utilisateur d'ACM*.
## Délivrer un certificat standard (AWS CLI)
Vous pouvez utiliser la commande [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) de la Autorité de certification privée AWS CLI ou l'action API [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)pour demander un certificat d'entité finale. Cette commande nécessite l'Amazon Resource Name (ARN) de l'autorité de certification privée que vous souhaitez utiliser pour émettre le certificat. Vous devez également générer une demande de signature de certificat (CSR) à l'aide d'un programme tel qu'[OpenSSL](https://www.openssl.org/).
Si vous utilisez l' Autorité de certification privée AWS API ou AWS CLI pour émettre un certificat privé, le certificat n'est pas géré, ce qui signifie que vous ne pouvez pas utiliser la console ACM, la CLI ACM ou l'API ACM pour le consulter ou l'exporter, et le certificat n'est pas automatiquement renouvelé. [Toutefois, vous pouvez utiliser la commande PCA [get-certificate pour récupérer les détails du certificat](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html), et si vous êtes le propriétaire de l'autorité de certification, vous pouvez créer un rapport d'audit.](PcaAuditReport.md)
**Considérations relatives à la création de certificats**
+ Conformément à la [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), la longueur du nom de domaine (techniquement, le nom commun) que vous fournissez ne peut pas dépasser 64 octets (caractères), points compris. Pour ajouter un nom de domaine plus long, spécifiez-le dans le champ Nom alternatif du sujet, qui prend en charge les noms d'une longueur maximale de 253 octets.
+ Si vous utilisez la AWS CLI version 1.6.3 ou une version ultérieure, utilisez le préfixe `fileb://` lorsque vous spécifiez des fichiers d'entrée codés en base64 tels que. CSRs Cela garantit que les données Autorité de certification privée AWS sont correctement analysées.
La commande OpenSSL suivante génère un CSR et une clé privée pour un certificat :
```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```
Vous pouvez inspecter le contenu du CSR comme suit :
```
$ openssl req -in csr.pem -text -noout
```
Le résultat obtenu doit ressembler à l'exemple abrégé suivant :
```
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Big Org, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
...
aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
d3:63
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha256WithRSAEncryption
74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
....
3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
0b:53:e5:22
```
La commande suivante crée un certificat. Aucun modèle n'étant spécifié, un certificat d'entité finale de base est émis par défaut.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--csr fileb://csr.pem \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=365,Type="DAYS"
```
L'ARN du certificat émis est renvoyé :
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
**Note**
Autorité de certification privée AWS renvoie immédiatement un ARN avec un numéro de série lorsqu'il reçoit la **issue-certificate** commande. Cependant, le traitement des certificats s'effectue de manière asynchrone et peut toujours échouer. Dans ce cas, une **get-certificate** commande utilisant le nouvel ARN échouera également.
## Émettre un certificat avec un nom de sujet personnalisé à l'aide d'un APIPassthrough modèle
Dans cet exemple, un certificat contenant des éléments de nom de sujet personnalisés est émis. En plus de fournir une CSR comme celle contenue dans[Délivrer un certificat standard (AWS CLI)](#IssueCertCli), vous transmettez deux arguments supplémentaires à la **issue-certificate** commande : l'ARN d'un APIPassthrough modèle et un fichier de configuration JSON qui spécifie les attributs personnalisés et leurs identifiants d'objet (OIDs). Vous ne pouvez pas `StandardAttributes` l'utiliser conjointement avec`CustomAttributes`. Cependant, vous pouvez passer le standard dans OIDs le cadre de`CustomAttributes`. Le nom du sujet par défaut est OIDs répertorié dans le tableau suivant (informations issues de la [RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) et de la [base de données de référence Global OID](https://oidref.com)) :
| Nom du sujet | Abréviation | ID de l'objet |
| --- | --- | --- |
| countryName | c | 2.5.4.6 |
| commonName | cn | 2.5.4.3 |
| DNQualifier [qualificatif de nom distinctif] | | 2.5.4.46 |
| Qualificateur de génération | | 2.5.4.44 |
| givenName | | 2.5.4.42 |
| initiales | | 2.5.4.43 |
| localité | l | 2.5.4.7 |
| organizationName | o | 2.5.4.10 |
| organizationalUnitName | ou | 2.5.4.11 |
| pseudonyme | | 2.5.4.65 |
| Numéro de série | | 2.5.4.5 |
| st [état] | | 2.5.4.8 |
| nom de famille | sn | 2.5.4.4 |
| title | | 2.5.4.12 |
| Composant de domaine | dc | 0,9,2342,19200300,10.1,25 |
| userid | | 0,9,2342,19200300,10.1.1 |
L'exemple de fichier de configuration `api_passthrough_config.txt` contient le code suivant :
```
{
"Subject": {
"CustomAttributes": [
{
"ObjectIdentifier": "2.5.4.6",
"Value": "US"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
"Value": "BCDABCDA12341234"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
"Value": "CDABCDAB12341234"
}
]
}
}
```
Utilisez la commande suivante pour émettre le certificat :
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
L'ARN du certificat émis est renvoyé :
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
Récupérez le certificat localement comme suit :
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
Vous pouvez inspecter le contenu du certificat à l'aide d'OpenSSL :
```
$ openssl x509 -in cert.pem -text -noout
```
**Note**
Il est également possible de créer une autorité de certification privée qui transmet des attributs personnalisés à chaque certificat qu'elle émet.
## Émettre un certificat avec des extensions personnalisées à l'aide d'un APIPassthrough modèle
Dans cet exemple, un certificat contenant des extensions personnalisées est émis. Pour cela, vous devez transmettre trois arguments à la **issue-certificate** commande : l'ARN d'un APIPassthrough modèle, un fichier de configuration JSON qui spécifie les extensions personnalisées, et un CSR comme celui illustré dans[Délivrer un certificat standard (AWS CLI)](#IssueCertCli).
L'exemple de fichier de configuration `api_passthrough_config.txt` contient le code suivant :
```
{
"Extensions": {
"CustomExtensions": [
{
"ObjectIdentifier": "2.5.29.30",
"Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
"Critical": true
}
]
}
}
```
Le certificat personnalisé est émis comme suit :
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
L'ARN du certificat émis est renvoyé :
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
Récupérez le certificat localement comme suit :
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
Vous pouvez inspecter le contenu du certificat à l'aide d'OpenSSL :
```
$ openssl x509 -in cert.pem -text -noout
```
# Récupérez un certificat privé
Vous pouvez utiliser l' Autorité de certification privée AWS API et AWS CLI émettre un certificat privé. Si c'est le cas, vous pouvez utiliser l' Autorité de certification privée AWS API AWS CLI or pour récupérer ce certificat. Si vous avez utilisé ACM pour créer votre autorité de certification privée et pour demander des certificats, vous devez utiliser ACM pour exporter le certificat et la clé privée chiffrée. Pour plus d’informations, consultez [Exportation d’un certificat privé](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).
**Pour récupérer un certificat d'entité finale**
Utilisez la AWS CLI commande [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) pour récupérer un certificat d'entité finale privé. Vous pouvez également utiliser l'opération [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html)API. Nous recommandons de formater la sortie avec [jq](https://stedolan.github.io/jq/), un analyseur de type sed.
**Note**
Si vous souhaitez révoquer un certificat, vous pouvez utiliser la commande **get-certificate** pour récupérer le numéro de série au format hexadécimal. Vous pouvez également créer un rapport d'audit pour récupérer le numéro de série hexadécimal. Pour de plus amples informations, veuillez consulter [Utiliser les rapports d'audit avec votre autorité de certification privée](PcaAuditReport.md).
```
$ aws acm-pca get-certificate \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
jq -r '.Certificate, .CertificateChain'
```
Cette commande génère le certificat et la chaîne de certificats dans le format standard suivant.
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
**Pour récupérer un certificat CA**
Vous pouvez utiliser l' Autorité de certification privée AWS API AWS CLI pour récupérer le certificat de l'autorité de certification (CA) de votre autorité de certification privée. Exécutez la commande [get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html). Vous pouvez également appeler l'opération [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html). Nous recommandons de formater la sortie avec [jq](https://stedolan.github.io/jq/), un analyseur de type sed.
```
$ aws acm-pca get-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
| jq -r '.Certificate'
```
Cette commande génère le certificat CA dans le format standard suivant.
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
# Répertorier les certificats privés
Pour répertorier vos certificats privés, générez un rapport d'audit, extrayez-le de son compartiment S3 et analysez le contenu du rapport selon les besoins. Pour plus d'informations sur la création de rapports Autorité de certification privée AWS d'audit, consultez[Utiliser les rapports d'audit avec votre autorité de certification privée](PcaAuditReport.md). Pour plus d'informations sur la récupération d'un objet depuis un compartiment S3, consultez la section [Téléchargement d'un objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
Les exemples suivants illustrent les approches permettant de créer des rapports d'audit et de les analyser pour obtenir des données utiles. Les résultats sont formatés en JSON et les données sont filtrées à l'aide de [jq](https://stedolan.github.io/jq/), un analyseur de type sed.
**1. Créez un rapport d'audit.**
La commande suivante génère un rapport d'audit pour une autorité de certification spécifiée.
```
$ aws acm-pca create-certificate-authority-audit-report \
--region region \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON
```
En cas de succès, la commande renvoie l'ID et l'emplacement du nouveau rapport d'audit.
```
{
"AuditReportId":"audit_report_ID",
"S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```
**2. Récupérez et formatez un rapport d'audit.**
Cette commande récupère un rapport d'audit, affiche son contenu dans une sortie standard et filtre les résultats pour n'afficher que les certificats émis le 2020-12-01 ou après cette date.
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json \
/dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```
Les articles retournés ressemblent à ce qui suit :
```
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**3. Enregistrez un rapport d'audit localement.**
Si vous souhaitez effectuer plusieurs requêtes, il est pratique d'enregistrer un rapport d'audit dans un fichier local.
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```
Le même filtre que précédemment produit le même résultat :
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**4. Requête dans une plage de dates**
Vous pouvez rechercher des certificats émis dans une plage de dates comme suit :
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```
Le contenu filtré est affiché dans la sortie standard :
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**5. Recherchez des certificats selon un modèle spécifié.**
La commande suivante filtre le contenu du rapport à l'aide d'un modèle d'ARN :
```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```
La sortie affiche les enregistrements de certificats correspondants :
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```
**6. Filtre pour les certificats révoqués**
Pour trouver tous les certificats révoqués, utilisez la commande suivante :
```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```
Un certificat révoqué s'affiche comme suit :
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"revokedAt": "2021-05-27T18:57:32+0000",
"revocationReason": "UNSPECIFIED",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**7. Filtrez à l'aide d'une expression régulière.**
La commande suivante recherche les noms de sujets contenant la chaîne « leaf » :
```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```
Les enregistrements de certificats correspondants sont renvoyés comme suit :
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.roo2.leaf4",
"notBefore": "2020-11-16T18:17:10+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-16T19:17:12+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf5",
"notBefore": "2020-12-21T21:28:09+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-12-21T22:28:09+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
# Exporter un certificat privé et sa clé secrète
Autorité de certification privée AWS ne peut pas exporter directement un certificat privé qu'il a signé et émis. Cependant, vous pouvez l'utiliser AWS Certificate Manager pour exporter un tel certificat avec sa clé secrète cryptée. Le certificat est alors entièrement portable pour être déployé n'importe où dans votre PKI privée. Pour plus d'informations, consultez la section [Exportation d'un certificat privé](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) dans le guide de AWS Certificate Manager l'utilisateur.
Autre avantage : AWS Certificate Manager permet de gérer le renouvellement des certificats privés émis à l'aide de la console ACM, de l'`RequestCertificate`action de l'API ACM ou de la **request-certificate** commande figurant dans la section ACM du. AWS CLI Pour plus d'informations sur les renouvellements, consultez la section [Renouvellement des certificats dans une PKI privée](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html).
# Révoquer un certificat privé
Vous pouvez révoquer un Autorité de certification privée AWS certificat à l'aide de la AWS CLI commande [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) ou de l'[RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)action API. Il peut être nécessaire de révoquer un certificat avant son expiration prévue si, par exemple, sa clé secrète est compromise ou si le domaine associé devient invalide. Pour que la révocation soit effective, le client utilisant le certificat doit pouvoir vérifier l'état de la révocation chaque fois qu'il tente d'établir une connexion réseau sécurisée.
Autorité de certification privée AWS fournit deux mécanismes entièrement gérés pour prendre en charge le contrôle de l'état de révocation : le protocole OCSP (Online Certificate Status Protocol) et les listes de révocation de certificats (). CRLs Avec OCSP, le client interroge une base de données de révocation faisant autorité qui renvoie un statut en temps réel. Avec une CRL, le client compare le certificat à une liste de certificats révoqués qu'il télécharge et stocke régulièrement. Les clients refusent d'accepter les certificats révoqués.
OCSP et OCSP CRLs dépendent des informations de validation intégrées dans les certificats. Pour cette raison, une autorité de certification émettrice doit être configurée pour prendre en charge l'un ou l'autre de ces mécanismes ou les deux avant l'émission. Pour plus d'informations sur la sélection et la mise en œuvre de la révocation gérée via Autorité de certification privée AWS, consultez[Planifiez la méthode de révocation de votre AWS CA privée certificat](revocation-setup.md).
Les certificats révoqués sont toujours enregistrés dans les rapports Autorité de certification privée AWS d'audit.
**Note**
Pour les appels intercomptes, un partage avec `AWSRAMRevokeCertificateCertificateAuthority` autorisation est requis. Les autorisations de révocation ne sont pas incluses dans. `AWSRAMDefaultPermissionCertificateAuthority` Pour permettre la révocation par les émetteurs multicomptes, l'administrateur de l'autorité de certification doit créer deux partages de RAM, tous deux pointant vers la même autorité de certification :
Un partage avec l'`AWSRAMRevokeCertificateCertificateAuthority`autorisation.
Un partage avec l'`AWSRAMDefaultPermissionCertificateAuthority`autorisation.
**Pour révoquer un certificat**
Utilisez l'action [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API ou la commande [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) pour révoquer un certificat PKI privé. Le numéro de série doit être au format hexadécimal. Vous pouvez récupérer le numéro de série en appelant la commande [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html). La commande `revoke-certificate` ne renvoie aucune réponse.
```
$ aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-serial serial_number \
--revocation-reason "KEY_COMPROMISE"
```
## Certificats révoqués et OCSP
Les réponses OCSP peuvent prendre jusqu'à 60 minutes pour refléter le nouveau statut lorsque vous révoquez un certificat. En général, l'OCSP a tendance à favoriser une distribution plus rapide des informations de révocation car, contrairement aux réponses OCSP CRLs qui peuvent être mises en cache par les clients pendant des jours, les réponses OCSP ne sont généralement pas mises en cache par les clients.
## Certificats révoqués dans une liste de révocation de certificats
Une liste de révocation de certificats est généralement mise à jour environ 30 minutes après la révocation d'un certificat. Si, pour une raison quelconque, une mise à jour de la CRL échoue, Autorité de certification privée AWS effectuez de nouvelles tentatives toutes les 15 minutes.
Avec Amazon CloudWatch, vous pouvez créer des alarmes pour les métriques `CRLGenerated` et`MisconfiguredCRLBucket`. Pour plus d'informations, consultez la section [ CloudWatchMesures prises en charge](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html). Pour plus d'informations sur la création et la configuration CRLs, consultez[Configurez une CRL pour AWS CA privée](crl-planning.md).
L'exemple suivant illustre un certificat révoqué dans une liste de révocation de certificats.
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
```
## Certificats révoqués dans un rapport d'audit
Tous les certificats, y compris les certificats révoqués, sont inclus dans le rapport d'audit d'une autorité de certification privée. L'exemple suivant illustre un rapport d'audit avec un certificat émis et un certificat révoqué. Pour de plus amples informations, veuillez consulter [Utiliser les rapports d'audit avec votre autorité de certification privée](PcaAuditReport.md).
```
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]
```
# Automatiser l'exportation d'un certificat renouvelé
Lorsque vous créez une autorité Autorité de certification privée AWS de certification, vous pouvez importer cette autorité de certification AWS Certificate Manager et laisser ACM gérer l'émission et le renouvellement des certificats. Si un certificat en cours de renouvellement est associé à un [service intégré](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html), le service applique le nouveau certificat de manière fluide. Toutefois, si le certificat a été initialement [exporté](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) pour être utilisé ailleurs dans votre environnement PKI (par exemple, dans un serveur ou une appliance sur site), vous devez l'exporter à nouveau après le renouvellement.
Pour un exemple de solution qui automatise le processus d'exportation ACM à l'aide d'Amazon et EventBridge AWS Lambda, consultez [Automatisation](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export) de l'exportation de certificats renouvelés.
# Utiliser des modèles de AWS CA privée certificats
Autorité de certification privée AWS utilise des modèles de configuration pour émettre à la fois des certificats CA et des certificats d'entité finale. Lorsque vous émettez un certificat CA depuis la console PCA, le modèle de certificat CA racine ou subordonné approprié est automatiquement appliqué.
Si vous utilisez la CLI ou l'API pour émettre un certificat, vous pouvez fournir un modèle d'ARN en tant que paramètre de l'`IssueCertificate`action. Si vous ne fournissez aucun ARN, le `EndEntityCertificate/V1` modèle est appliqué par défaut. Pour plus d'informations, consultez la documentation de l'[IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API et de la commande [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html).
**Note**
AWS Certificate Manager (ACM) disposant d'un accès partagé entre comptes à une autorité de certification privée peuvent émettre des certificats gérés signés par l'autorité de certification. Les émetteurs multicomptes sont limités par une politique basée sur les ressources et n'ont accès qu'aux modèles de certificats d'entité finale suivants :
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificateAPIPassthrough\$1/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificateAPICSRPassthrough\$1/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[Subordonné CACertificate \$1 0/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
Pour de plus amples informations, veuillez consulter [Politiques basées sur les ressources](pca-rbp.md).
**Topics**
+ [AWS CA privée variétés de modèles](template-varieties.md)
+ [AWS CA privée modèle d'ordre des opérations](template-order-of-operations.md)
+ [AWS CA privée définitions de modèles](template-definitions.md)
# AWS CA privée variétés de modèles
Autorité de certification privée AWS prend en charge quatre types de modèles.
+ **Modèles de base**
Modèles prédéfinis dans lesquels aucun paramètre de transmission n'est autorisé.
+ **CSRPassthrough modèles**
Modèles qui étendent leurs versions de modèles de base correspondantes en autorisant le transfert CSR. Les extensions du CSR utilisé pour délivrer le certificat sont copiées sur le certificat émis. Dans les cas où le CSR contient des valeurs d'extension en conflit avec la définition du modèle, la définition du modèle aura toujours la priorité la plus élevée. Pour plus de détails sur la priorité, voir[AWS CA privée modèle d'ordre des opérationsModèle d'ordre des opérations](template-order-of-operations.md).
+ **APIPassthrough modèles**
Modèles qui étendent leurs versions de modèles de base correspondantes en autorisant le transfert d'API. Les valeurs dynamiques connues de l'administrateur ou d'autres systèmes intermédiaires peuvent ne pas être connues par l'entité demandant le certificat, être impossibles à définir dans un modèle ou ne pas être disponibles dans le CSR. L'administrateur de l'autorité de certification peut toutefois récupérer des informations supplémentaires à partir d'une autre source de données, telle qu'un Active Directory, pour terminer la demande. Par exemple, si une machine ne sait pas à quelle unité organisationnelle elle appartient, l'administrateur peut rechercher les informations dans Active Directory et les ajouter à la demande de certificat en les incluant dans une structure JSON.
Les valeurs du `ApiPassthrough` paramètre de l'`IssueCertificate`action `` sont copiées sur le certificat émis. Dans les cas où le `ApiPassthrough` paramètre contient des informations en conflit avec la définition du modèle, la définition du modèle aura toujours la priorité la plus élevée. Pour plus de détails sur la priorité, voir[AWS CA privée modèle d'ordre des opérationsModèle d'ordre des opérations](template-order-of-operations.md).
+ **APICSRPassthrough modèles**
Des modèles qui étendent leurs versions de modèles de base correspondantes en autorisant à la fois le transfert d'API et de CSR. Les extensions du CSR utilisé pour délivrer le certificat sont copiées sur le certificat émis, et les valeurs du `ApiPassthrough` paramètre de l'`IssueCertificate`action sont également copiées. Dans les cas où la définition du modèle, les valeurs de transmission d'API et les extensions de transmission CSR présentent un conflit, la définition du modèle a la priorité la plus élevée, suivie des valeurs de transmission d'API, suivies des extensions de transmission CSR. Pour plus de détails sur la priorité, voir[AWS CA privée modèle d'ordre des opérationsModèle d'ordre des opérations](template-order-of-operations.md).
Les tableaux ci-dessous répertorient tous les types de modèles pris en charge par, Autorité de certification privée AWS avec des liens vers leurs définitions.
**Note**
Pour plus d'informations sur ARNs le modèle dans GovCloud les régions, consultez [AWS Autorité de certification privée](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)le *guide de AWS GovCloud (US) l'utilisateur*.
**Modèles de base**
| Nom du modèle | ARN du modèle | Type de certificat |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | Signature de code |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | Entité finale |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | Entité finale |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | Entité finale |
| [OCSPSigningCertificat/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | Signature OCSP |
| [Racine CACertificate /V1](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [Subordonné CACertificate \$1 0/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [Subordonné CACertificate \$1 1/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [Subordonné CACertificate \$1 2/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [Subordonné CACertificate \$1 3/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough modèles**
| Nom du modèle | ARN du modèle | Type de certificat |
| --- | --- | --- |
| [BlankEndEntityCertificateCSRPassthrough\$1/V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | Entité finale |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | Entité finale |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificateCSRPassthrough\$1/V1](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | Signature de code |
| [EndEntityCertificateCSRPassthrough\$1/V1](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | Entité finale |
| [EndEntityClientAuthCertificateCSRPassthrough\$1/V1](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | Entité finale |
| [EndEntityServerAuthCertificateCSRPassthrough\$1/V1](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | Entité finale |
| [OCSPSigningCertificat\$1 /V1 CSRPassthrough](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | Signature OCSP |
| [Subordonné \$1 CACertificate PathLen 0\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 1\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 2\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 3\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough modèles**
| Nom du modèle | ARN du modèle | Type de certificat |
| --- | --- | --- |
| [BlankEndEntityCertificateAPIPassthrough\$1/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | Entité finale |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | Entité finale |
| [CodeSigningCertificateAPIPassthrough\$1/V1](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | Signature de code |
| [EndEntityCertificateAPIPassthrough\$1/V1](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | Entité finale |
| [EndEntityClientAuthCertificateAPIPassthrough\$1/V1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | Entité finale |
| [EndEntityServerAuthCertificateAPIPassthrough\$1/V1](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | Entité finale |
| [OCSPSigningCertificat\$1 /V1 APIPassthrough](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | Signature OCSP |
| [Racine CACertificate \$1 APIPassthrough /V1](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificateAPIPassthrough\$1/V1](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificatePathLen\$1 0\$1/V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificatePathLen\$1 1\$1/V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificatePathLen\$1 2\$1/V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificatePathLen\$1 3\$1/V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 0\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 1\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 2\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 3\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough modèles**
| Nom du modèle | ARN du modèle | Type de certificat |
| --- | --- | --- |
| [BlankEndEntityCertificateAPICSRPassthrough\$1/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | Entité finale |
| | | |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | Entité finale |
| [CodeSigningCertificateAPICSRPassthrough\$1/V1](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | Signature de code |
| [EndEntityCertificateAPICSRPassthrough\$1/V1](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | Entité finale |
| [EndEntityClientAuthCertificateAPICSRPassthrough\$1/V1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | Entité finale |
| [EndEntityServerAuthCertificateAPICSRPassthrough\$1/V1](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | Entité finale |
| [OCSPSigningCertificat\$1 /V1 APICSRPassthrough](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | Signature OCSP |
| [Subordonné \$1 CACertificate PathLen 0\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 1\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 2\$1APICSRPassthrough/3\$1 V1 PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [Subordonné \$1 CACertificate PathLen 3\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS CA privée modèle d'ordre des opérations
Les informations contenues dans un certificat émis peuvent provenir de quatre sources : la définition du modèle, le transfert d'API, le transfert CSR et la configuration de l'autorité de certification.
Les valeurs de transmission d'API ne sont respectées que lorsque vous utilisez un modèle de transmission d'API ou un modèle de transmission APICSR. La transmission CSR n'est respectée que lorsque vous utilisez un modèle de transmission CSRPassthrough ou un modèle de transmission APICSR. Lorsque ces sources d'informations sont en conflit, une règle générale s'applique généralement : pour chaque valeur d'extension, la définition du modèle a la priorité la plus élevée, suivie des valeurs intermédiaires d'API, suivies des extensions de transmission CSR.
**Exemples**
1. La définition du modèle pour [EndEntityClientAuthCertificate\$1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) définit l' ExtendedKeyUsage extension avec la valeur « Authentification du serveur Web TLS, authentification du client Web TLS ». S'il ExtendedKeyUsage est défini dans le CSR ou dans le `IssueCertificate` `ApiPassthrough` paramètre, la `ApiPassthrough` valeur pour ExtendedKeyUsage sera ignorée car la définition du modèle est prioritaire, et la valeur CSR pour la ExtendedKeyUsage valeur sera ignorée car le modèle n'est pas une variété CSR passthrough.
**Note**
La définition du modèle copie néanmoins d'autres valeurs du CSR, telles que le sujet et le nom alternatif du sujet. Ces valeurs sont toujours extraites du CSR même si le modèle n'est pas une variété de CSR passthrough, car la définition du modèle a toujours la plus haute priorité.
1. La définition du modèle pour [EndEntityClientAuthCertificate\$1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) définit l'extension Subject Alternative Name (SAN) comme étant copiée depuis l'API ou le CSR. Si l'extension SAN est définie dans le CSR et fournie dans le `IssueCertificate` ` ApiPassthrough` paramètre, la valeur de transmission d'API sera prioritaire car les valeurs de transmission d'API ont priorité sur les valeurs de transmission de la CSR.
# AWS CA privée définitions de modèles
Les sections suivantes fournissent des informations de configuration sur les modèles de Autorité de certification privée AWS certificats pris en charge.
## BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1
Avec des modèles de certificats d'entité finale vierges, vous pouvez émettre des certificats d'entité finale avec uniquement les contraintes X.509 Basic présentes. Il s'agit du certificat d'entité finale le plus simple qui Autorité de certification privée AWS puisse être émis, mais il peut être personnalisé à l'aide de la structure de l'API. L'extension Basic constraints définit si le certificat est un certificat CA ou non. Un modèle de certificat d'entité finale vide applique la valeur FALSE pour les contraintes de base afin de garantir qu'un certificat d'entité finale est émis et non un certificat CA.
Vous pouvez utiliser des modèles d'échange vierges pour émettre des certificats de carte à puce qui nécessitent des valeurs spécifiques pour l'utilisation des clés (KU) et pour l'utilisation étendue des clés (EKU). Par exemple, l'utilisation étendue des clés peut nécessiter l'authentification du client et l'ouverture de session par carte à puce, tandis que l'utilisation des clés peut nécessiter une signature numérique, la non-répudiation et le chiffrement des clés. Contrairement aux autres modèles de transmission, les modèles de certificats d'entité finale vides permettent de configurer les extensions KU et EKU, où KU peut être l'une des neuf valeurs prises en charge (DigitalSignature, NonRepudiation, KeyEncipherment, DataEncipherment, KeyAgreement, cRLSign, EncipherOnly et DecipherOnly) et EKU peut être n'importe laquelle des valeurs prises en charge (ServerAuth, ClientAuth, codesign, EmailProtection, timestamping, et) ainsi que des extensions personnalisées. keyCertSign OCSPSigning
**BlankEndEntityCertificateAPIPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | CA:FALSE |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
## BlankEndEntityCertificate\$1 APICSRPassthrough /Définition de V1
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificateAPICSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | CA:FALSE |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
## BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /Définition de V1
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critical, CA : FALSE |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA, l'API ou le CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /Définition de V1
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critical, CA : FALSE |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration ou l'API CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /Définition de V1
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critical, CA : FALSE |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankEndEntityCertificate\$1 CSRPassthrough /Définition de V1
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificateCSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | CA:FALSE |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 0` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 0` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 0` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 1` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 1` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 1` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 2` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 2` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 2` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 3` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 3` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1définition
Pour des informations générales sur les modèles vierges, consultez[BlankEndEntityCertificate\$1 APIPassthrough /Définition de V1](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 3` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### CodeSigningCertificateDéfinition de /V1
Ce modèle est utilisé pour créer des certificats pour la signature de code. Vous pouvez utiliser des certificats de signature de code issus de Autorité de certification privée AWS n'importe quelle solution de signature de code basée sur une infrastructure CA privée. Par exemple, les clients utilisant Code Signing for AWS IoT peuvent générer un certificat de signature de code avec Autorité de certification privée AWS et l'importer dans. AWS Certificate Manager Pour plus d'informations, voir À [quoi sert la signature de code AWS IoT ?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) et [obtenez et importez un certificat de signature de code](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html).
**CodeSigningCertificate/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | `CA:FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique |
| Utilisation étendue des clés | Critique, signature de code |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### CodeSigningCertificate\$1 APICSRPassthrough /Définition de V1
Ce modèle étend CodeSigningCertificate /V1 pour prendre en charge les valeurs de transmission d'API et de CSR.
**CodeSigningCertificateAPICSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | `CA:FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique |
| Utilisation étendue des clés | Critique, signature de code |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### CodeSigningCertificate\$1 APIPassthrough /Définition de V1
Ce modèle est identique au `CodeSigningCertificate` modèle, à une différence près : dans ce modèle, il Autorité de certification privée AWS transmet des extensions supplémentaires via l'API au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions de l'API.
**CodeSigningCertificateAPIPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | `CA:FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique |
| Utilisation étendue des clés | Critique, signature de code |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### CodeSigningCertificate\$1 CSRPassthrough /Définition de V1
Ce modèle est identique au `CodeSigningCertificate` modèle à une différence près : dans ce modèle, il Autorité de certification privée AWS transmet les extensions supplémentaires de la demande de signature de certificat (CSR) au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions dans la demande de signature de certificat.
**CodeSigningCertificateCSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | `CA:FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique |
| Utilisation étendue des clés | Critique, signature de code |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### EndEntityCertificateDéfinition de /V1
Ce modèle est utilisé pour créer des certificats pour des entités finales, telles que les systèmes d'exploitation ou les serveurs web.
**EndEntityCertificate/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du serveur web TLS, authentification du client web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### EndEntityCertificate\$1 APICSRPassthrough /Définition de V1
Ce modèle étend EndEntityCertificate /V1 pour prendre en charge les valeurs de transmission d'API et de CSR.
**EndEntityCertificateAPICSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du serveur web TLS, authentification du client web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### EndEntityCertificate\$1 APIPassthrough /Définition de V1
Ce modèle est identique au `EndEntityCertificate` modèle, à une différence près : dans ce modèle, il Autorité de certification privée AWS transmet des extensions supplémentaires via l'API au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions de l'API.
**EndEntityCertificateAPIPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du serveur web TLS, authentification du client web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### EndEntityCertificate\$1 CSRPassthrough /Définition de V1
Ce modèle est identique au `EndEntityCertificate` modèle à une différence près : dans ce modèle, il Autorité de certification privée AWS transmet les extensions supplémentaires de la demande de signature de certificat (CSR) au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions dans la demande de signature de certificat.
**EndEntityCertificateCSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du serveur web TLS, authentification du client web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### EndEntityClientAuthCertificateDéfinition de /V1
Ce modèle diffère du `EndEntityCertificate` seul par la valeur d'utilisation de la clé étendue, qui le limite à l'authentification du client Web TLS.
**EndEntityClientAuthCertificate/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du client web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### EndEntityClientAuthCertificate\$1 APICSRPassthrough /Définition de V1
Ce modèle étend EndEntityClientAuthCertificate /V1 pour prendre en charge les valeurs de transmission d'API et de CSR.
**EndEntityClientAuthCertificateAPICSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du client web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### EndEntityClientAuthCertificate\$1 APIPassthrough /Définition de V1
Ce modèle est identique au modèle `EndEntityClientAuthCertificate` avec une différence. Dans ce modèle, Autorité de certification privée AWS transmet des extensions supplémentaires via l'API au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions de l'API.
**EndEntityClientAuthCertificateAPIPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du client web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### EndEntityClientAuthCertificate\$1 CSRPassthrough /Définition de V1
Ce modèle est identique au modèle `EndEntityClientAuthCertificate` avec une différence. Dans ce modèle, Autorité de certification privée AWS transmet les extensions supplémentaires de la demande de signature de certificat (CSR) au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions dans la demande de signature de certificat.
**EndEntityClientAuthCertificateCSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du client web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### EndEntityServerAuthCertificateDéfinition de /V1
Ce modèle diffère du `EndEntityCertificate` seul par la valeur d'utilisation de la clé étendue, qui le limite à l'authentification du serveur Web TLS.
**EndEntityServerAuthCertificate/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du serveur web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### EndEntityServerAuthCertificate\$1 APICSRPassthrough /Définition de V1
Ce modèle étend EndEntityServerAuthCertificate /V1 pour prendre en charge les valeurs de transmission d'API et de CSR.
**EndEntityServerAuthCertificateAPICSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du serveur web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### EndEntityServerAuthCertificate\$1 APIPassthrough /Définition de V1
Ce modèle est identique au modèle `EndEntityServerAuthCertificate` avec une différence. Dans ce modèle, Autorité de certification privée AWS transmet des extensions supplémentaires via l'API au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions de l'API.
**EndEntityServerAuthCertificateAPIPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du serveur web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### EndEntityServerAuthCertificate\$1 CSRPassthrough /Définition de V1
Ce modèle est identique au modèle `EndEntityServerAuthCertificate` avec une différence. Dans ce modèle, Autorité de certification privée AWS transmet les extensions supplémentaires de la demande de signature de certificat (CSR) au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions dans la demande de signature de certificat.
**EndEntityServerAuthCertificateCSRPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Autorité de certification :`FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique, chiffrement des clés |
| Utilisation étendue des clés | Authentification du serveur web TLS |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### OCSPSigningDéfinition du certificat/V1
Ce modèle est utilisé pour créer des certificats pour signer des réponses OCSP. Le modèle est identique au `CodeSigningCertificate` modèle, sauf que la valeur d'utilisation de la clé étendue spécifie la signature OCSP au lieu de la signature de code.
**OCSPSigningCertificat/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | `CA:FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique |
| Utilisation étendue des clés | Critique, signature OCSP |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### OCSPSigningDéfinition du certificate\$1/V1 APICSRPassthrough
Ce modèle étend le OCSPSigning Certificate/V1 pour prendre en charge les valeurs de transmission de l'API et de la CSR.
**OCSPSigningCertificat\$1 /V1 APICSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | `CA:FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique |
| Utilisation étendue des clés | Critique, signature OCSP |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### OCSPSigningDéfinition du certificate\$1/V1 APIPassthrough
Ce modèle est identique au modèle `OCSPSigningCertificate` avec une différence. Dans ce modèle, Autorité de certification privée AWS transmet des extensions supplémentaires via l'API au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions de l'API.
**OCSPSigningCertificat\$1 /V1 APIPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | `CA:FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique |
| Utilisation étendue des clés | Critique, signature OCSP |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### OCSPSigningDéfinition du certificate\$1/V1 CSRPassthrough
Ce modèle est identique au modèle `OCSPSigningCertificate` avec une différence. Dans ce modèle, Autorité de certification privée AWS transmet les extensions supplémentaires de la demande de signature de certificat (CSR) au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions dans la demande de signature de certificat.
**OCSPSigningCertificat\$1 /V1 CSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | `CA:FALSE` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique |
| Utilisation étendue des clés | Critique, signature OCSP |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans le modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### Définition Root CACertificate /V1
Ce modèle est utilisé pour émettre des certificats d'une autorité de certification racine auto-signés. Les certificats d'une autorité de certification incluent une extension de contraintes basiques critiques avec le champ d'une autorité de certification défini sur `TRUE` pour indiquer que le certificat peut être utilisé pour émettre des certificats d'une autorité de certification. Le modèle ne spécifie pas de longueur de chemin ([pathLenConstraint](PcaTerms.md#terms-pathlength)) car cela pourrait empêcher l'expansion future de la hiérarchie. L'utilisation étendue de la clé est exclue pour empêcher l'utilisation du certificat d'une autorité de certification en tant que certificat du client ou du serveur TLS. Aucune information de liste de révocation de certificats n'est spécifiée car un certificat auto-signé ne peut pas être révoqué.
**Racine CACertificate /V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE` |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique keyCertSign, signe CRL |
| Points de distribution CRL | N/A |
### Définition de Root CACertificate \$1 APIPassthrough /V1
Ce modèle étend Root CACertificate /V1 pour prendre en charge les valeurs de transmission d'API.
**Racine CACertificate \$1 APIPassthrough /V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE` |
| Identifiant de clé d'autorité | [Transfert depuis l'API] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique keyCertSign, signe CRL |
| Points de distribution CRL\$1 | N/A |
### BlankRootCACertificate\$1 APIPassthrough /Définition de V1
Avec les modèles de certificat racine vierges, vous pouvez émettre des certificats racine en présence uniquement des contraintes de base X.509. Il s'agit du certificat racine le plus simple qui Autorité de certification privée AWS puisse être émis, mais il peut être personnalisé à l'aide de la structure de l'API. L'extension des contraintes de base définit si le certificat est un certificat CA ou non. Un modèle de certificat racine vide applique une valeur de `TRUE` pour les contraintes de base afin de garantir l'émission d'un certificat racine de l'autorité de certification.
Vous pouvez utiliser des modèles racine intermédiaires vierges pour émettre des certificats racines qui nécessitent des valeurs spécifiques pour l'utilisation des clés (KU). Par exemple, l'utilisation des clés peut nécessiter `keyCertSign` et`cRLSign`, mais pas`digitalSignature`. Contrairement aux autres modèles de certificats intermédiaires non vierges, les modèles de certificats racines vierges permettent de configurer l'extension KU, où KU peut être n'importe laquelle des neuf valeurs prises en charge (`digitalSignature``nonRepudiation``keyEncipherment`,`dataEncipherment`,,`keyAgreement`, `keyCertSign` `cRLSign``encipherOnly`, et`decipherOnly`).
**BlankRootCACertificateAPIPassthrough\$1/V1**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE` |
| Identifiant clé du sujet | [Dérivé de CSR] |
### BlankRootCACertificate\$1 PathLen 0\$1 APIPassthrough /V1 définition
Pour des informations générales sur les modèles d'autorité de certification root vierges, consultez[BlankRootCACertificate\$1 APIPassthrough /Définition de V1](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificatePathLen\$1 0\$1/V1 APIPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 0` |
| Identifiant clé du sujet | [Dérivé de CSR] |
### BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /Définition de V1
Pour des informations générales sur les modèles d'autorité de certification root vierges, consultez[BlankRootCACertificate\$1 APIPassthrough /Définition de V1](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificatePathLen\$1 1\$1/V1 APIPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 1` |
| Identifiant clé du sujet | [Dérivé de CSR] |
### BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /Définition de V1
Pour des informations générales sur les modèles d'autorité de certification root vierges, consultez[BlankRootCACertificate\$1 APIPassthrough /Définition de V1](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificatePathLen\$1 2\$1/V1 APIPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 2` |
| Identifiant clé du sujet | [Dérivé de CSR] |
### BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1 définition
Pour des informations générales sur les modèles d'autorité de certification root vierges, consultez[BlankRootCACertificate\$1 APIPassthrough /Définition de V1](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificatePathLen\$1 3\$1/V1 APIPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 3` |
| Identifiant clé du sujet | [Dérivé de CSR] |
### Définition du subordonné CACertificate \$1 PathLen 0/V1
Ce modèle est utilisé pour émettre des certificats CA subordonnés avec une longueur de chemin de`0`. Les certificats d'une autorité de certification incluent une extension de contraintes basiques critiques avec le champ d'une autorité de certification défini sur `TRUE` pour indiquer que le certificat peut être utilisé pour émettre des certificats d'une autorité de certification. L'utilisation étendue de la clé n'est pas incluse, ce qui empêche l'utilisation du certificat d'une autorité de certification en tant que certificat du client ou du serveur TLS.
Pour de plus amples informations sur les chemins de certification, veuillez consulter [Définition des contraintes de longueur sur le chemin d'accès de certification](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Subordonné CACertificate \$1 0/V1 PathLen**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 0` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1Les points de distribution CRL sont inclus dans les certificats émis avec ce modèle uniquement si l'autorité de certification est configurée avec la génération de CRL activée.
### Définition du subordonné CACertificate \$1 PathLen 0\$1 /V1 APICSRPassthrough
Ce modèle étend Suordinate CACertificate \$1 PathLen 0/V1 pour prendre en charge les valeurs de transmission des API et CSR.
**Subordonné \$1 CACertificate PathLen 0\$1 /V1 APICSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 0` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### Définition du subordonné CACertificate \$1 PathLen 0\$1 /V1 APIPassthrough
Ce modèle étend Suordinate CACertificate \$1 PathLen 0/V1 pour prendre en charge les valeurs de transmission d'API.
**Subordonné \$1 CACertificate PathLen 0\$1 /V1 APIPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 0` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### Définition du subordonné CACertificate \$1 PathLen 0\$1 /V1 CSRPassthrough
Ce modèle est identique au `SubordinateCACertificate_PathLen0` modèle à une différence près : dans ce modèle, il Autorité de certification privée AWS transmet les extensions supplémentaires de la demande de signature de certificat (CSR) au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions dans la demande de signature de certificat.
**Note**
Un CSR contenant des extensions supplémentaires personnalisées doit être créé en dehors de Autorité de certification privée AWS.
**Subordonné \$1 CACertificate PathLen 0\$1 /V1 CSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 0` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans les certificats émis avec ce modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### Définition du subordonné CACertificate \$1 PathLen 1/V1
Ce modèle est utilisé pour émettre des certificats CA subordonnés avec une longueur de chemin de`1`. Les certificats CA incluent une extension critique des contraintes de base avec le champ CA défini `TRUE` pour indiquer que le certificat peut être utilisé pour émettre des certificats CA. L'utilisation étendue de la clé n'est pas incluse, ce qui empêche l'utilisation du certificat d'une autorité de certification en tant que certificat du client ou du serveur TLS.
Pour de plus amples informations sur les chemins de certification, veuillez consulter [Définition des contraintes de longueur sur le chemin d'accès de certification](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Subordonné CACertificate \$1 1/V1 PathLen**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 1` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans les certificats émis avec ce modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### Définition du subordonné CACertificate \$1 PathLen 1\$1 /V1 APICSRPassthrough
Ce modèle étend Suordinate CACertificate \$1 PathLen 1/V1 pour prendre en charge les valeurs de transmission des API et CSR.
**Subordonné \$1 CACertificate PathLen 1\$1 /V1 APICSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 1` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### Définition du subordonné CACertificate \$1 PathLen 1\$1 /V1 APIPassthrough
Ce modèle étend Suordinate CACertificate \$1 PathLen 0/V1 pour prendre en charge les valeurs de transmission d'API.
**Subordonné \$1 CACertificate PathLen 1\$1 /V1 APIPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 1` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### Définition du subordonné CACertificate \$1 PathLen 1\$1 /V1 CSRPassthrough
Ce modèle est identique au `SubordinateCACertificate_PathLen1` modèle à une différence près : dans ce modèle, il Autorité de certification privée AWS transmet les extensions supplémentaires de la demande de signature de certificat (CSR) au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions dans la demande de signature de certificat.
**Note**
Un CSR contenant des extensions supplémentaires personnalisées doit être créé en dehors de Autorité de certification privée AWS.
**Subordonné \$1 CACertificate PathLen 1\$1 /V1 CSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 1` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans les certificats émis avec ce modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### Définition du subordonné CACertificate \$1 PathLen 2/V1
Ce modèle est utilisé pour émettre des certificats d'une autorité de certification subordonnée avec une longueur de chemin d'accès de 2. Les certificats CA incluent une extension critique des contraintes de base avec le champ CA défini `TRUE` pour indiquer que le certificat peut être utilisé pour émettre des certificats CA. L'utilisation étendue de la clé n'est pas incluse, ce qui empêche l'utilisation du certificat d'une autorité de certification en tant que certificat du client ou du serveur TLS.
Pour de plus amples informations sur les chemins de certification, veuillez consulter [Définition des contraintes de longueur sur le chemin d'accès de certification](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Subordonné CACertificate \$1 2/V1 PathLen**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 2` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans les certificats émis avec ce modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### Définition du subordonné CACertificate \$1 PathLen 2\$1 /V1 APICSRPassthrough
Ce modèle étend Suordinate CACertificate \$1 PathLen 2/V1 pour prendre en charge les valeurs de transmission des API et CSR.
**Subordonné \$1 CACertificate PathLen 2\$1 /V1 APICSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 2` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### Définition du subordonné CACertificate \$1 PathLen 2\$1 /V1 APIPassthrough
Ce modèle étend Suordinate CACertificate \$1 PathLen 2/V1 pour prendre en charge les valeurs de transmission d'API.
**Subordonné \$1 CACertificate PathLen 2\$1 /V1 APIPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 2` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### Définition du subordonné CACertificate \$1 PathLen 2\$1 /V1 CSRPassthrough
Ce modèle est identique au `SubordinateCACertificate_PathLen2` modèle à une différence près : dans ce modèle, il Autorité de certification privée AWS transmet les extensions supplémentaires de la demande de signature de certificat (CSR) au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions dans la demande de signature de certificat.
**Note**
Un CSR contenant des extensions supplémentaires personnalisées doit être créé en dehors de Autorité de certification privée AWS.
**Subordonné \$1 CACertificate PathLen 2\$1 /V1 CSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 2` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans les certificats émis avec ce modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### Subordonné CACertificate \$1 Définition PathLen 3/V1
Ce modèle est utilisé pour émettre des certificats d'une autorité de certification subordonnée avec une longueur de chemin d'accès de 3. Les certificats CA incluent une extension critique des contraintes de base avec le champ CA défini `TRUE` pour indiquer que le certificat peut être utilisé pour émettre des certificats CA. L'utilisation étendue de la clé n'est pas incluse, ce qui empêche l'utilisation du certificat d'une autorité de certification en tant que certificat du client ou du serveur TLS.
Pour de plus amples informations sur les chemins de certification, veuillez consulter [Définition des contraintes de longueur sur le chemin d'accès de certification](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Subordonné CACertificate \$1 3/V1 PathLen**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 3` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans les certificats émis avec ce modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.
### Définition du subordonné CACertificate \$1 PathLen 3\$1 /V1 APICSRPassthrough
Ce modèle étend Suordinate CACertificate \$1 PathLen 3/V1 pour prendre en charge les valeurs de transmission des API et CSR.
**Subordonné \$1 CACertificate PathLen 3\$1 /V1 APICSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 3` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### Définition du subordonné CACertificate \$1 PathLen 3\$1 /V1 APIPassthrough
Ce modèle étend Suordinate CACertificate \$1 PathLen 3/V1 pour prendre en charge les valeurs de transmission d'API.
**Subordonné \$1 CACertificate PathLen 3\$1 /V1 APIPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transfert depuis l'API ou le CSR] |
| Sujet | [Transfert depuis l'API ou le CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 3` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA] |
\$1 Les points de distribution CRL ne sont inclus dans le modèle que si l'autorité de certification est configurée avec la génération de CRL activée.
### Définition du subordonné CACertificate \$1 PathLen 3\$1 /V1 CSRPassthrough
Ce modèle est identique au `SubordinateCACertificate_PathLen3` modèle à une différence près : dans ce modèle, il Autorité de certification privée AWS transmet les extensions supplémentaires de la demande de signature de certificat (CSR) au certificat si les extensions ne sont pas spécifiées dans le modèle. Les extensions spécifiées dans le modèle remplacent toujours les extensions dans la demande de signature de certificat.
**Note**
Un CSR contenant des extensions supplémentaires personnalisées doit être créé en dehors de Autorité de certification privée AWS.
**Subordonné \$1 CACertificate PathLen 3\$1 /V1 CSRPassthrough**
| Paramètre X509v3 | Value |
| --- | --- |
| Nom alternatif du sujet | [Transmission depuis CSR] |
| Sujet | [Transmission depuis CSR] |
| Contraintes de base | Critique, `CA:TRUE`, `pathlen: 3` |
| Identifiant de clé d'autorité | [Certificat SKI from CA] |
| Identifiant clé du sujet | [Dérivé de CSR] |
| Utilisation de la clé | Signature numérique critique`keyCertSign`, signe CRL |
| Points de distribution CRL\$1 | [Transfert depuis la configuration CA ou CSR] |
\$1Les points de distribution d'une demande de signature de certificat sont inclus dans les certificats émis avec ce modèle uniquement si l'autorité de certification est configurée avec la génération de la demande de signature de certificat activée.