Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menerbitkan dan mengelola sertifikat di AWS Private CA
Setelah Anda membuat dan mengaktifkan otoritas sertifikat pribadi (CA) dan mengkonfigurasi akses ke sana, Anda atau pengguna yang berwenang dapat menerbitkan dan mengelola sertifikat. Jika Anda belum menyiapkan kebijakan AWS Identity and Access Management (IAM) untuk CA, Anda dapat mempelajari lebih lanjut tentang mengonfigurasinya di bagian [Identity and Access Management](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html) pada panduan ini. Untuk informasi tentang mengkonfigurasi akses CA dalam skenario akun tunggal dan lintas akun, lihat [Kontrol akses ke CA pribadi](granting-ca-access.md).
**Topics**
+ [Menerbitkan sertifikat entitas akhir pribadi](PcaIssueCert.md)
+ [Ambil sertifikat pribadi](PcaGetCert.md)
+ [Daftar sertifikat pribadi](PcaListCerts.md)
+ [Ekspor sertifikat pribadi dan kunci rahasianya](export-in-acm.md)
+ [Mencabut sertifikat pribadi](PcaRevokeCert.md)
+ [Mengotomatiskan ekspor sertifikat yang diperbarui](auto-export.md)
+ [Gunakan templat AWS Private CA sertifikat](UsingTemplates.md)
# Menerbitkan sertifikat entitas akhir pribadi
Dengan adanya CA pribadi, Anda dapat meminta sertifikat entitas akhir pribadi dari AWS Certificate Manager (ACM) atau. AWS Private CA Kemampuan kedua layanan dibandingkan dalam tabel berikut.
****
| Kemampuan | ACM | AWS Private CA |
| --- | --- | --- |
| Menerbitkan sertifikat entitas akhir | ✓ (menggunakan [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)atau konsol) | ✓ (menggunakan [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)) |
| Asosiasi dengan penyeimbang beban dan layanan yang menghadap ke internet AWS | ✓ | Tidak didukung |
| Perpanjangan sertifikat terkelola | ✓ | [Didukung secara tidak langsung melalui ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) |
| Dukungan konsol | ✓ | Tidak didukung |
| Dukungan API | ✓ | ✓ |
| Dukungan CLI | ✓ | ✓ |
Saat AWS Private CA membuat sertifikat, ia mengikuti template yang menentukan jenis sertifikat dan panjang jalur. Jika tidak ada template ARN yang diberikan ke API atau pernyataan CLI yang membuat sertifikat, template [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) diterapkan secara default. Untuk informasi selengkapnya tentang templat sertifikat yang tersedia, lihat [Gunakan templat AWS Private CA sertifikat](UsingTemplates.md).
Sementara sertifikat ACM dirancang di sekitar kepercayaan publik, AWS Private CA melayani kebutuhan PKI pribadi Anda. Akibatnya, Anda dapat mengonfigurasi sertifikat menggunakan AWS Private CA API dan CLI dengan cara yang tidak diizinkan oleh ACM. Sumber daya yang dimaksud meliputi:
+ Membuat sertifikat dengan nama Subjek.
+ Menggunakan salah satu [algoritma kunci privat yang didukung dan panjang kunci](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Menggunakan salah satu [algoritma penandatanganan yang didukung](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Menentukan periode validitas apa pun untuk [CA](PcaCreateCa.html) privat dan [sertifikat](PcaIssueCert.html) privat Anda.
Setelah membuat sertifikat TLS pribadi menggunakan AWS Private CA, Anda dapat [mengimpornya](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) ke ACM dan menggunakannya dengan layanan yang didukung AWS .
**catatan**
Sertifikat yang dibuat dengan prosedur di bawah ini, menggunakan **issue-certificate** perintah, atau dengan tindakan [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API, tidak dapat langsung diekspor untuk digunakan di luar AWS. Namun, Anda dapat menggunakan CA pribadi Anda untuk menandatangani sertifikat yang dikeluarkan melalui ACM, dan sertifikat tersebut dapat diekspor bersama dengan kunci rahasianya. Untuk informasi selengkapnya, lihat [Meminta sertifikat pribadi](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) dan [Mengekspor sertifikat pribadi di Panduan](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) Pengguna *ACM*.
## Menerbitkan sertifikat standar (AWS CLI)
Anda dapat menggunakan sertifikat [penerbitan perintah AWS Private CA CLI atau tindakan API [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)untuk meminta sertifikat entitas akhir](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html). Perintah ini memerlukan Amazon Resource Name (ARN) dari CA privat yang ingin Anda gunakan untuk menerbitkan sertifikat. Anda juga harus membuat permintaan penandatanganan sertifikat (CSR) menggunakan program seperti [OpenSSL](https://www.openssl.org/).
Jika Anda menggunakan AWS Private CA API atau AWS CLI menerbitkan sertifikat pribadi, sertifikat tidak dikelola, artinya Anda tidak dapat menggunakan konsol ACM, ACM CLI, atau ACM API untuk melihat atau mengekspornya, dan sertifikat tidak diperpanjang secara otomatis. Namun, Anda dapat menggunakan perintah [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) PCA untuk mengambil detail sertifikat, dan jika Anda memiliki CA, Anda dapat membuat [laporan audit](PcaAuditReport.md).
**Pertimbangan saat membuat sertifikat**
+ Sesuai dengan [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), panjang nama domain (secara teknis, Nama Umum) yang Anda berikan tidak boleh melebihi 64 oktet (karakter), termasuk periode. Untuk menambahkan nama domain yang lebih panjang, tentukan di bidang Nama Alternatif Subjek, yang mendukung panjang nama hingga 253 oktet.
+ Jika Anda menggunakan AWS CLI versi 1.6.3 atau yang lebih baru, gunakan awalan `fileb://` saat menentukan file input yang disandikan base64 seperti. CSRs Ini memastikan bahwa AWS Private CA mem-parsing data dengan benar.
Perintah OpenSSL berikut menghasilkan CSR dan kunci pribadi untuk sertifikat:
```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```
Anda dapat memeriksa isi CSR sebagai berikut:
```
$ openssl req -in csr.pem -text -noout
```
Output yang dihasilkan harus menyerupai contoh singkat berikut:
```
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Big Org, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
...
aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
d3:63
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha256WithRSAEncryption
74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
....
3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
0b:53:e5:22
```
Perintah berikut membuat sertifikat. Karena tidak ada templat yang ditentukan, sertifikat entitas akhir dasar dikeluarkan secara default.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--csr fileb://csr.pem \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=365,Type="DAYS"
```
ARN dari sertifikat yang diterbitkan dikembalikan:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
**catatan**
AWS Private CA segera mengembalikan ARN dengan nomor seri ketika menerima perintah. **issue-certificate** Namun, pemrosesan sertifikat terjadi secara asinkron dan masih bisa gagal. Jika ini terjadi, **get-certificate** perintah yang menggunakan ARN baru juga akan gagal.
## Menerbitkan sertifikat dengan nama subjek kustom menggunakan APIPassthrough templat
Dalam contoh ini, sertifikat dikeluarkan yang berisi elemen nama subjek yang disesuaikan. Selain menyediakan CSR seperti yang ada di[Menerbitkan sertifikat standar (AWS CLI)](#IssueCertCli), Anda meneruskan dua argumen tambahan ke **issue-certificate** perintah: ARN APIPassthrough template, dan file konfigurasi JSON yang menentukan atribut kustom dan pengidentifikasi objek (). OIDs Anda tidak dapat menggunakan `StandardAttributes` dalam hubungannya dengan`CustomAttributes`. Namun, Anda dapat lulus standar OIDs sebagai bagian dari. `CustomAttributes` Nama subjek default OIDs tercantum dalam tabel berikut (informasi dari [RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) dan [database referensi Global OID](https://oidref.com)):
| Nama subjek | Singkatan | ID Objek |
| --- | --- | --- |
| Nama negara | c | 2.5.4.6 |
| commonName | cn | 2.5.4.3 |
| DNQualifier [kualifikasi nama terhormat] | | 2.5.4.46 |
| GenerationQualifier | | 2.5.4.44 |
| givenName | | 2.5.4.42 |
| inisial | | 2.5.4.43 |
| lokalitas | l | 2.5.4.7 |
| Nama Organisasi | o | 2.5.4.10 |
| organizationalUnitName | ou | 2.5.4.11 |
| nama samaran | | 2.5.4.65 |
| SerialNumber | | 2.5.4.5 |
| st [negara] | | 2.5.4.8 |
| nama keluarga | sn | 2.5.4.4 |
| title | | 2.5.4.12 |
| DomainComponent | dc | 0.9.2342.19200300.100.1.25 |
| userid | | 0.9.2342.19200300.100.1.1 |
File konfigurasi sampel `api_passthrough_config.txt` berisi kode berikut:
```
{
"Subject": {
"CustomAttributes": [
{
"ObjectIdentifier": "2.5.4.6",
"Value": "US"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
"Value": "BCDABCDA12341234"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
"Value": "CDABCDAB12341234"
}
]
}
}
```
Gunakan perintah berikut untuk mengeluarkan sertifikat:
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
ARN dari sertifikat yang diterbitkan dikembalikan:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
Ambil sertifikat secara lokal sebagai berikut:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
Anda dapat memeriksa konten sertifikat menggunakan OpenSSL:
```
$ openssl x509 -in cert.pem -text -noout
```
**catatan**
Dimungkinkan juga untuk membuat CA pribadi yang meneruskan atribut khusus ke setiap sertifikat yang dikeluarkannya.
## Menerbitkan sertifikat dengan ekstensi khusus menggunakan APIPassthrough templat
Dalam contoh ini, sertifikat dikeluarkan yang berisi ekstensi yang disesuaikan. Untuk ini, Anda perlu meneruskan tiga argumen ke **issue-certificate** perintah: ARN APIPassthrough template, dan file konfigurasi JSON yang menentukan ekstensi kustom, dan CSR seperti yang ditunjukkan di. [Menerbitkan sertifikat standar (AWS CLI)](#IssueCertCli)
File konfigurasi sampel `api_passthrough_config.txt` berisi kode berikut:
```
{
"Extensions": {
"CustomExtensions": [
{
"ObjectIdentifier": "2.5.29.30",
"Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
"Critical": true
}
]
}
}
```
Sertifikat yang disesuaikan dikeluarkan sebagai berikut:
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
ARN dari sertifikat yang diterbitkan dikembalikan:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
Ambil sertifikat secara lokal sebagai berikut:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
Anda dapat memeriksa konten sertifikat menggunakan OpenSSL:
```
$ openssl x509 -in cert.pem -text -noout
```
# Ambil sertifikat pribadi
Anda dapat menggunakan AWS Private CA API dan AWS CLI mengeluarkan sertifikat pribadi. Jika ya, Anda dapat menggunakan AWS Private CA API AWS CLI atau untuk mengambil sertifikat tersebut. Jika Anda menggunakan ACM untuk membuat CA privat dan meminta sertifikat, Anda harus menggunakan ACM untuk mengekspor sertifikat dan kunci privat terenkripsi. Untuk informasi selengkapnya, lihat [Mengekspor sertifikat pribadi](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).
**Untuk mengambil sertifikat entitas akhir**
Gunakan AWS CLI perintah [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) untuk mengambil sertifikat end-entity pribadi. Anda juga dapat menggunakan operasi [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html)API. Kami merekomendasikan memformat output dengan [jq](https://stedolan.github.io/jq/), parser sed-like.
**catatan**
Jika Anda ingin mencabut sertifikat, Anda dapat menggunakan perintah **get-certificate** untuk mengambil nomor seri dalam format heksadesimal. Anda juga dapat membuat laporan audit untuk mengambil nomor seri heks. Untuk informasi selengkapnya, lihat [Gunakan laporan audit dengan CA pribadi Anda](PcaAuditReport.md).
```
$ aws acm-pca get-certificate \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
jq -r '.Certificate, .CertificateChain'
```
Perintah ini mengeluarkan sertifikat dan rantai sertifikat dalam format standar berikut.
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
**Untuk mengambil sertifikat CA**
Anda dapat menggunakan AWS Private CA API dan AWS CLI mengambil sertifikat otoritas sertifikat (CA) untuk CA pribadi Anda. Jalankan perintah [get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html). Anda juga dapat menghubungi operasi [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html). Kami merekomendasikan memformat output dengan [jq](https://stedolan.github.io/jq/), parser sed-like.
```
$ aws acm-pca get-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
| jq -r '.Certificate'
```
Perintah ini mengeluarkan sertifikat CA dalam format standar berikut.
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
# Daftar sertifikat pribadi
Untuk membuat daftar sertifikat privat Anda, buat laporan audit, ambil dari bucket S3-nya, dan parser konten laporan sesuai kebutuhan. Untuk informasi tentang membuat laporan AWS Private CA audit, lihat[Gunakan laporan audit dengan CA pribadi Anda](PcaAuditReport.md). Untuk informasi tentang mengambil objek dari bucket S3, lihat [Mengunduh objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) di *Panduan Pengguna Amazon Simple Storage Service*.
Contoh berikut mengilustrasikan pendekatan untuk membuat laporan audit dan melakukan parser untuk data yang berguna. Hasil diformat dalam JSON, dan data difilter menggunakan [jq](https://stedolan.github.io/jq/), parser sed-like.
**1. Buat laporan audit.**
Perintah berikut menghasilkan laporan audit untuk CA tertentu.
```
$ aws acm-pca create-certificate-authority-audit-report \
--region region \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON
```
Ketika berhasil, perintah mengembalikan ID dan lokasi laporan audit baru.
```
{
"AuditReportId":"audit_report_ID",
"S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```
**2. Ambil dan format laporan audit.**
Perintah ini mengambil laporan audit, menampilkan isinya dalam output standar, serta menyaring hasil untuk menampilkan hanya sertifikat yang diterbitkan pada atau setelah 01-12-2020.
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json \
/dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```
Item yang dikembalikan menyerupai berikut ini:
```
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**3. Simpan laporan audit secara lokal.**
Jika Anda ingin melakukan beberapa kueri, akan lebih mudah untuk menyimpan laporan audit ke file lokal.
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```
Filter yang sama seperti sebelumnya menghasilkan output yang sama:
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**4. Kueri di dalam rentang tanggal**
Anda dapat kueri untuk sertifikat yang diterbitkan dalam rentang tanggal sebagai berikut:
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```
Konten yang difilter ditampilkan dalam output standar:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**5. Cari sertifikat mengikuti templat yang ditentukan.**
Perintah berikut memfilter konten laporan menggunakan templat ARN:
```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```
Output menampilkan catatan sertifikat yang cocok:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```
**6. Filter untuk sertifikat yang dicabut**
Untuk menemukan semua sertifikat yang dicabut, gunakan perintah berikut:
```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```
Sertifikat yang dicabut ditampilkan sebagai berikut:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"revokedAt": "2021-05-27T18:57:32+0000",
"revocationReason": "UNSPECIFIED",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**7. Filter menggunakan ekspresi reguler.**
Perintah berikut mencari nama subjek yang berisi string "leaf":
```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```
Catatan sertifikat yang cocok dikembalikan sebagai berikut:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.roo2.leaf4",
"notBefore": "2020-11-16T18:17:10+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-16T19:17:12+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf5",
"notBefore": "2020-12-21T21:28:09+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-12-21T22:28:09+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
# Ekspor sertifikat pribadi dan kunci rahasianya
AWS Private CA tidak dapat langsung mengekspor sertifikat pribadi yang telah ditandatangani dan diterbitkan. Namun, Anda dapat menggunakan AWS Certificate Manager untuk mengekspor sertifikat tersebut bersama dengan kunci rahasia terenkripsi. Sertifikat ini kemudian sepenuhnya portabel untuk penyebaran di mana saja di PKI pribadi Anda. Untuk informasi selengkapnya, lihat [Mengekspor sertifikat pribadi](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) di Panduan AWS Certificate Manager Pengguna.
Sebagai manfaat tambahan, AWS Certificate Manager menyediakan perpanjangan terkelola untuk sertifikat pribadi yang dikeluarkan menggunakan konsol ACM, `RequestCertificate` tindakan ACM API, atau **request-certificate** perintah di bagian ACM. AWS CLI Untuk informasi selengkapnya tentang perpanjangan, lihat [Memperbarui sertifikat di](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html) PKI pribadi.
# Mencabut sertifikat pribadi
Anda dapat mencabut AWS Private CA sertifikat menggunakan AWS CLI perintah [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) atau tindakan API. [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) Sertifikat mungkin perlu dicabut sebelum kedaluwarsa yang dijadwalkan jika, misalnya, kunci rahasianya dikompromikan atau domain terkaitnya menjadi tidak valid. Agar pencabutan efektif, klien yang menggunakan sertifikat memerlukan cara untuk memeriksa status pencabutan setiap kali mencoba membangun koneksi jaringan yang aman.
AWS Private CA menyediakan dua mekanisme yang dikelola sepenuhnya untuk mendukung pemeriksaan status pencabutan: Protokol Status Sertifikat Online (OCSP) dan daftar pencabutan sertifikat (). CRLs Dengan OCSP, klien menanyakan database pencabutan otoritatif yang mengembalikan status secara real-time. Dengan CRL, klien memeriksa sertifikat terhadap daftar sertifikat yang dicabut yang diunduh dan disimpan secara berkala. Klien menolak untuk menerima sertifikat yang telah dicabut.
Baik OCSP dan CRLs bergantung pada informasi validasi yang tertanam dalam sertifikat. Untuk alasan ini, CA penerbitan harus dikonfigurasi untuk mendukung salah satu atau kedua mekanisme ini sebelum penerbitan. Untuk informasi tentang memilih dan menerapkan pencabutan terkelola melalui AWS Private CA, lihat. [Rencanakan metode pencabutan AWS Private CA sertifikat Anda](revocation-setup.md)
Sertifikat yang dicabut selalu dicatat dalam laporan AWS Private CA audit.
**catatan**
Untuk penelepon lintas akun, pembagian dengan `AWSRAMRevokeCertificateCertificateAuthority` izin diperlukan. Izin pencabutan tidak termasuk dalam. `AWSRAMDefaultPermissionCertificateAuthority` Untuk mengaktifkan pencabutan oleh penerbit lintas akun, administrator CA harus membuat dua saham RAM, keduanya menunjuk pada CA yang sama:
Berbagi dengan `AWSRAMRevokeCertificateCertificateAuthority` izin.
Berbagi dengan `AWSRAMDefaultPermissionCertificateAuthority` izin.
**Untuk mencabut sertifikat**
Gunakan tindakan [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API atau perintah [pencabutan sertifikat untuk mencabut](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) sertifikat PKI pribadi. Nomor seri harus dalam format heksadesimal. Anda dapat mengambil nomor seri dengan memanggil perintah [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html). Perintah `revoke-certificate` tidak mengembalikan respons.
```
$ aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-serial serial_number \
--revocation-reason "KEY_COMPROMISE"
```
## Sertifikat dan OCSP yang dicabut
Tanggapan OCSP dapat memakan waktu hingga 60 menit untuk mencerminkan status baru saat Anda mencabut sertifikat. Secara umum, OCSP cenderung mendukung distribusi informasi pencabutan yang lebih cepat karena, tidak seperti CRLs yang dapat di-cache oleh klien selama berhari-hari, respons OCSP biasanya tidak di-cache oleh klien.
## Sertifikat yang dicabut di CRL
CRL biasanya diperbarui sekitar 30 menit setelah sertifikat dicabut. Jika karena alasan apa pun pembaruan CRL gagal, lakukan AWS Private CA upaya lebih lanjut setiap 15 menit.
Dengan Amazon CloudWatch, Anda dapat membuat alarm untuk metrik `CRLGenerated` dan. `MisconfiguredCRLBucket` Untuk informasi selengkapnya, lihat [ CloudWatchMetrik yang Didukung](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html). Untuk informasi selengkapnya tentang membuat dan mengonfigurasi CRLs, lihat[Siapkan CRL untuk AWS Private CA](crl-planning.md).
Contoh berikut menunjukkan sertifikat yang dicabut dalam daftar pencabutan sertifikat (CRL).
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
```
## Sertifikat yang dicabut dalam laporan audit
Semua sertifikat, termasuk sertifikat yang dicabut, disertakan dalam laporan audit untuk CA privat. Contoh berikut menunjukkan laporan audit dengan satu diterbitkan dan satu sertifikat dicabut. Untuk informasi selengkapnya, lihat [Gunakan laporan audit dengan CA pribadi Anda](PcaAuditReport.md).
```
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]
```
# Mengotomatiskan ekspor sertifikat yang diperbarui
Saat Anda menggunakan AWS Private CA untuk membuat CA, Anda dapat mengimpor CA tersebut ke dalam AWS Certificate Manager dan membiarkan ACM mengelola penerbitan dan perpanjangan sertifikat. Jika sertifikat yang diperbarui dikaitkan dengan [layanan terintegrasi, layanan](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) menerapkan sertifikat baru dengan mulus. Namun, jika sertifikat awalnya [diekspor](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) untuk digunakan di tempat lain di lingkungan PKI Anda (misalnya, di server atau perangkat lokal), Anda perlu mengekspornya lagi setelah perpanjangan.
Untuk contoh solusi yang mengotomatiskan proses ekspor ACM menggunakan Amazon dan EventBridge AWS Lambda, lihat [Mengotomatiskan](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export) ekspor sertifikat yang diperbarui.
# Gunakan templat AWS Private CA sertifikat
AWS Private CA menggunakan templat konfigurasi untuk menerbitkan sertifikat CA dan sertifikat entitas akhir. Saat Anda menerbitkan sertifikat CA dari konsol PCA, templat sertifikat CA akar atau bawahan yang sesuai diterapkan secara otomatis.
Jika Anda menggunakan CLI atau API untuk menerbitkan sertifikat, Anda dapat menyediakan templat ARN sebagai parameter untuk tindakan `IssueCertificate`. Jika Anda tidak memberikan ARN, maka templat `EndEntityCertificate/V1` secara default. Untuk informasi selengkapnya, lihat dokumentasi perintah [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API dan [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html).
**catatan**
AWS Certificate Manager (ACM) pengguna dengan akses bersama lintas akun ke CA pribadi dapat menerbitkan sertifikat terkelola yang ditandatangani oleh CA. Penerbit lintas akun dibatasi oleh kebijakan berbasis sumber daya dan hanya memiliki akses ke templat sertifikat entitas akhir berikut:
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[Bawahan CACertificate \$1 0/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
Untuk informasi selengkapnya, lihat [Kebijakan berbasis sumber daya](pca-rbp.md).
**Topics**
+ [AWS Private CA varietas template](template-varieties.md)
+ [AWS Private CA urutan template operasi](template-order-of-operations.md)
+ [AWS Private CA definisi template](template-definitions.md)
# AWS Private CA varietas template
AWS Private CA mendukung empat jenis template.
+ **Template dasar**
Templat yang telah ditentukan sebelumnya tempat tidak ada parameter passthrough yang diizinkan.
+ **CSRPassthrough template**
Templat yang memperpanjang versi templat dasar yang sesuai dengan mengizinkan passthrough CSR. Ekstensi dalam CSR yang digunakan untuk menerbitkan sertifikat disalin ke sertifikat yang diterbitkan. Dalam kasus tempat CSR berisi nilai ekstensi yang bertentangan dengan definisi templat, definisi templat akan selalu memiliki prioritas lebih tinggi. Untuk detail lebih lanjut tentang prioritas, lihat [AWS Private CA urutan template operasiUrutan templat operasi](template-order-of-operations.md).
+ **APIPassthrough template**
Templat yang memperluas versi templat dasar yang sesuai dengan mengizinkan passthrough API. Nilai dinamis yang diketahui oleh administrator atau sistem perantara lainnya mungkin tidak diketahui oleh entitas yang meminta sertifikat, mungkin tidak mungkin ditentukan dalam templat, dan mungkin tidak tersedia di CSR. Namun, Administrator CA, dapat mengambil informasi tambahan dari sumber data lain, seperti Direktori Aktif, untuk menyelesaikan permintaan. Misalnya, jika mesin tidak mengetahui unit organisasi apa yang dimilikinya, administrator dapat mencari informasi di Direktori Aktif dan menambahkannya ke permintaan sertifikat dengan menyertakan informasi dalam struktur JSON.
Nilai dalam parameter `ApiPassthrough` tindakan `IssueCertificate` disalin ke sertifikat yang diterbitkan. Dalam kasus tempat parameter `ApiPassthrough` berisi informasi yang bertentangan dengan definisi templat, definisi templat akan selalu memiliki prioritas lebih tinggi. Untuk detail lebih lanjut tentang prioritas, lihat [AWS Private CA urutan template operasiUrutan templat operasi](template-order-of-operations.md).
+ **APICSRPassthrough template**
Templat yang memperluas versi templat dasar yang sesuai dengan mengizinkan passthrough API dan CSR. Ekstensi dalam CSR yang digunakan untuk menerbitkan sertifikat disalin ke sertifikat yang diterbitkan, dan nilai dalam parameter `ApiPassthrough` tindakan`IssueCertificate` juga disalin. Jika definisi templat, nilai passthrough API, dan ekstensi passthrough CSR menunjukkan konflik, definisi templat memiliki prioritas tertinggi, diikuti oleh nilai passthrough API, diikuti oleh ekstensi passthrough CSR. Untuk detail lebih lanjut tentang prioritas, lihat [AWS Private CA urutan template operasiUrutan templat operasi](template-order-of-operations.md).
Tabel di bawah ini mencantumkan semua jenis templat AWS Private CA yang didukung oleh tautan ke definisinya.
**catatan**
Untuk informasi tentang template ARNs di GovCloud wilayah, lihat [AWS Private Certificate Authority](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)di *Panduan AWS GovCloud (US) Pengguna*.
**Templat Dasar**
| Nama Templat | ARN Templat | Jenis Sertifikat |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | Penandatanganan kode |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | Entitas akhir |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | Entitas akhir |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | Entitas akhir |
| [OCSPSigningSertifikat/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | Penandatanganan OCSP |
| [CACertificateAkar/V1](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [Bawahan CACertificate \$1 0/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [Bawahan CACertificate \$1 1/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [Bawahan CACertificate \$1 2/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [Bawahan CACertificate \$1 3/V1 PathLen](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough template**
| Nama Templat | ARN Templat | Jenis Sertifikat |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | Entitas akhir |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | Entitas akhir |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificate\$1 CSRPassthrough /V1](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | Penandatanganan kode |
| [EndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | Entitas akhir |
| [EndEntityClientAuthCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | Entitas akhir |
| [EndEntityServerAuthCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | Entitas akhir |
| [OCSPSigningSertifikat/V1 CSRPassthrough](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | Penandatanganan OCSP |
| [Bawahan CACertificate \$1 PathLen 0\$1/V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 1\$1/V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 2\$1/V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 3\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough template**
| Nama Templat | ARN Templat | Jenis Sertifikat |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | Entitas akhir |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | Entitas akhir |
| [CodeSigningCertificate\$1 APIPassthrough /V1](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | Penandatanganan kode |
| [EndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | Entitas akhir |
| [EndEntityClientAuthCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | Entitas akhir |
| [EndEntityServerAuthCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | Entitas akhir |
| [OCSPSigningSertifikat/V1 APIPassthrough](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | Penandatanganan OCSP |
| [Akar CACertificate \$1 APIPassthrough /V1](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 0\$1/V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 1\$1/V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 2\$1/V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 3\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough template**
| Nama Templat | ARN Templat | Jenis Sertifikat |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | Entitas akhir |
| | | |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | Entitas akhir |
| [CodeSigningCertificate\$1 APICSRPassthrough /V1](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | Penandatanganan kode |
| [EndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | Entitas akhir |
| [EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | Entitas akhir |
| [EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | Entitas akhir |
| [OCSPSigningSertifikat/V1 APICSRPassthrough](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | Penandatanganan OCSP |
| [Bawahan CACertificate \$1 PathLen 0\$1/V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 1\$1/V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 2\$1APICSRPassthrough/PathLen3\$1 V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [Bawahan CACertificate \$1 PathLen 3\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS Private CA urutan template operasi
Informasi yang ada dalam sertifikat yang diterbitkan dapat berasal dari empat sumber: definisi templat, passthrough API, passthrough CSR, dan konfigurasi CA.
Nilai passthrough API hanya dipatuhi saat Anda menggunakan passthrough API atau templat passthrough APICSR. Passthrough CSR hanya dihormati ketika Anda menggunakan template passthrough CSRPassthrough atau APICSR. Ketika sumber informasi ini bertentangan, aturan umum biasanya berlaku: Untuk setiap nilai ekstensi, definisi templat memiliki prioritas tertinggi, diikuti oleh nilai passthrough API, diikuti oleh ekstensi passthrough CSR.
**Contoh**
1. Definisi template untuk [EndEntityClientAuthCertificate\$1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) mendefinisikan ExtendedKeyUsage ekstensi dengan nilai “otentikasi server web TLS, otentikasi klien web TLS”. Jika ExtendedKeyUsage didefinisikan dalam CSR atau `IssueCertificate` `ApiPassthrough` parameter, `ApiPassthrough` nilai untuk ExtendedKeyUsage akan diabaikan karena definisi template diprioritaskan, dan nilai CSR untuk ExtendedKeyUsage nilai akan diabaikan karena template bukan variasi passthrough CSR.
**catatan**
Definisi templat tetap menyalin nilai-nilai lain dari CSR, seperti Nama Alternatif Subjek dan Subjek. Nilai-nilai ini tetap diambil dari CSR meskipun templat bukan merupakan variasi passthrough CSR, karena definisi templat selalu menjadi prioritas tertinggi.
1. Definisi template untuk [EndEntityClientAuthCertificate\$1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) mendefinisikan ekstensi Nama Alternatif Subjek (SAN) sebagai disalin dari API atau CSR. Jika ekstensi SAN didefinisikan dalam CSR dan disediakan dalam parameter `IssueCertificate`` ApiPassthrough`, nilai passthrough API akan diprioritaskan karena nilai passthrough API lebih diprioritaskan daripada nilai passthrough CSR.
# AWS Private CA definisi template
Bagian berikut memberikan rincian konfigurasi tentang template AWS Private CA sertifikat yang didukung.
## BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi
Dengan templat sertifikat entitas akhir kosong, Anda dapat menerbitkan sertifikat entitas akhir hanya dengan batasan X.509 Basic yang ada. Ini adalah sertifikat entitas akhir paling sederhana yang AWS Private CA dapat diterbitkan, tetapi dapat disesuaikan menggunakan struktur API. Ekstensi batasan dasar menentukan apakah sertifikat tersebut merupakan sertifikat CA atau bukan. Templat sertifikat entitas akhir kosong memberlakukan nilai FALSE untuk batasan Dasar untuk memastikan bahwa sertifikat entitas akhir diterbitkan dan bukan sertifikat CA.
Anda dapat menggunakan templat passthrough kosong untuk mengeluarkan sertifikat kartu pintar yang memerlukan nilai khusus untuk penggunaan Kunci (KU) dan Penggunaan kunci yang diperluas (EKU). Misalnya, penggunaan kunci yang Diperpanjang mungkin memerlukan Autentikasi Klien dan Masuk Kartu Cerdas, dan penggunaan Kunci mungkin memerlukan Tanda Tangan Digital, Non Repudiation, dan Enkripsi Kunci. Tidak seperti templat passthrough lainnya, templat sertifikat entitas akhir kosong memungkinkan konfigurasi ekstensi KU dan EKU, di mana KU dapat berupa salah satu dari sembilan nilai yang didukung (DigitalSignature, NonRepudiation, KeyEncipherment, DataEncipherment, KeyAgreement,, c, encipherOnly, dan DecipherOnly) dan EKU dapat berupa salah satu nilai yang didukung (ServerAuth, ClientAuth keyCertSign, comendesainRLSign, EmailProtection, stempel waktu, dan) ditambah ekstensi khusus. OCSPSigning
**BlankEndEntityCertificate\$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | CA:FALSE |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
## BlankEndEntityCertificate\$1 APICSRPassthrough /V1 definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 APICSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | CA:FALSE |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
## BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1 definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Kritis, CA: SALAH |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA, API, atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1 definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Kritis, CA: SALAH |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau API] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1 definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Kritis, CA: SALAH |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankEndEntityCertificate\$1 CSRPassthrough /V1 definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankEndEntityCertificate\$1 CSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | CA:FALSE |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 0` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 0` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 0` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 1` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 1` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 1` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 2` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 2` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 2` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 3` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 3` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1definisi
Untuk informasi umum tentang templat kosong, lihat [BlankEndEntityCertificate\$1 APIPassthrough /V1 definisi](#BlankEndEntityCertificate_APIPassthrough).
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 3` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### CodeSigningCertificate/V1 definisi
Templat ini digunakan untuk membuat sertifikat untuk penandatanganan kode. Anda dapat menggunakan sertifikat penandatanganan kode dari AWS Private CA solusi penandatanganan kode apa pun yang didasarkan pada infrastruktur CA pribadi. Misalnya, pelanggan yang menggunakan Penandatanganan Kode untuk AWS IoT dapat menghasilkan sertifikat penandatanganan kode dengan AWS Private CA dan mengimpornya ke. AWS Certificate Manager Untuk informasi selengkapnya, lihat [Untuk apa Penandatanganan Kode AWS IoT?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) dan [Dapatkan dan Impor Sertifikat Penandatanganan Kode](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html).
**CodeSigningCertificate/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | `CA:FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Penting, penandatanganan kode |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### CodeSigningCertificate\$1 APICSRPassthrough /V1 definisi
Template ini memperluas CodeSigningCertificate /V1 untuk mendukung nilai passthrough API dan CSR.
**CodeSigningCertificate\$1 APICSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | `CA:FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Penting, penandatanganan kode |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### CodeSigningCertificate\$1 APIPassthrough /V1 definisi
Template ini identik dengan `CodeSigningCertificate` template dengan satu perbedaan: Dalam template ini, AWS Private CA meneruskan ekstensi tambahan melalui API ke sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di API.
**CodeSigningCertificate\$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | `CA:FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Penting, penandatanganan kode |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### CodeSigningCertificate\$1 CSRPassthrough /V1 definisi
Template ini identik dengan `CodeSigningCertificate` template dengan satu perbedaan: Dalam template ini, AWS Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di CSR.
**CodeSigningCertificate\$1 CSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | `CA:FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Penting, penandatanganan kode |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### EndEntityCertificate/V1 definisi
Templat ini digunakan untuk membuat sertifikat untuk entitas akhir seperti sistem operasi atau server web.
**EndEntityCertificate/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi server web TLS, autentikasi klien web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### EndEntityCertificate\$1 APICSRPassthrough /V1 definisi
Template ini memperluas EndEntityCertificate /V1 untuk mendukung nilai passthrough API dan CSR.
**EndEntityCertificate\$1 APICSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi server web TLS, autentikasi klien web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### EndEntityCertificate\$1 APIPassthrough /V1 definisi
Template ini identik dengan `EndEntityCertificate` template dengan satu perbedaan: Dalam template ini, AWS Private CA meneruskan ekstensi tambahan melalui API ke sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di API.
**EndEntityCertificate\$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi server web TLS, autentikasi klien web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### EndEntityCertificate\$1 CSRPassthrough /V1 definisi
Template ini identik dengan `EndEntityCertificate` template dengan satu perbedaan: Dalam template ini, AWS Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di CSR.
**EndEntityCertificate\$1 CSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi server web TLS, autentikasi klien web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### EndEntityClientAuthCertificate/V1 definisi
Templat ini berbeda dari satu-satunya `EndEntityCertificate` dalam Nilai penggunaan kunci yang diperpanjang, yang membatasinya untuk autentikasi klien web TLS.
**EndEntityClientAuthCertificate/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi klien web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1 definisi
Template ini memperluas EndEntityClientAuthCertificate /V1 untuk mendukung nilai passthrough API dan CSR.
**EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi klien web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### EndEntityClientAuthCertificate\$1 APIPassthrough /V1 definisi
Templat ini identik dengan templat `EndEntityClientAuthCertificate` dengan satu perbedaan. Dalam template ini, AWS Private CA meneruskan ekstensi tambahan melalui API ke dalam sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di API.
**EndEntityClientAuthCertificate\$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi klien web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### EndEntityClientAuthCertificate\$1 CSRPassthrough /V1 definisi
Templat ini identik dengan templat `EndEntityClientAuthCertificate` dengan satu perbedaan. Dalam template ini, AWS Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di CSR.
**EndEntityClientAuthCertificate\$1 CSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi klien web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### EndEntityServerAuthCertificate/V1 definisi
Templat ini berbeda dari satu-satunya `EndEntityCertificate` dalam Nilai penggunaan kunci yang diperpanjang, yang membatasinya pada autentikasi server web TLS.
**EndEntityServerAuthCertificate/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi server web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1 definisi
Template ini memperluas EndEntityServerAuthCertificate /V1 untuk mendukung nilai passthrough API dan CSR.
**EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi server web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### EndEntityServerAuthCertificate\$1 APIPassthrough /V1 definisi
Templat ini identik dengan templat `EndEntityServerAuthCertificate` dengan satu perbedaan. Dalam template ini, AWS Private CA meneruskan ekstensi tambahan melalui API ke dalam sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di API.
**EndEntityServerAuthCertificate\$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi server web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### EndEntityServerAuthCertificate\$1 CSRPassthrough /V1 definisi
Templat ini identik dengan templat `EndEntityServerAuthCertificate` dengan satu perbedaan. Dalam template ini, AWS Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di CSR.
**EndEntityServerAuthCertificate\$1 CSRPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | CA:`FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, penyandian kunci, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Autentikasi server web TLS |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### OCSPSigningDefinisi sertifikat/V1
Templat ini digunakan untuk membuat sertifikat untuk menandatangani tanggapan OCSP. Templat identik dengan templat `CodeSigningCertificate`, kecuali bahwa Nilai penggunaan kunci yang diperpanjang menentukan penandatanganan OCSP, bukan penandatanganan kode.
**OCSPSigningSertifikat/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | `CA:FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Penting, penandatanganan OCSP |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### OCSPSigningDefinisi sertifikat\$1/V1 APICSRPassthrough
Template ini memperluas OCSPSigning Certificate/V1 untuk mendukung nilai passthrough API dan CSR.
**OCSPSigningAPICSRPassthroughSertifikat\$1/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | `CA:FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Penting, penandatanganan OCSP |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### OCSPSigningDefinisi sertifikat\$1/V1 APIPassthrough
Templat ini identik dengan templat `OCSPSigningCertificate` dengan satu perbedaan. Dalam template ini, AWS Private CA meneruskan ekstensi tambahan melalui API ke dalam sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di API.
**OCSPSigningAPIPassthroughSertifikat\$1/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | `CA:FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Penting, penandatanganan OCSP |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### OCSPSigningDefinisi sertifikat\$1/V1 CSRPassthrough
Templat ini identik dengan templat `OCSPSigningCertificate` dengan satu perbedaan. Dalam template ini, AWS Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam templat. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di CSR.
**OCSPSigningCSRPassthroughSertifikat\$1/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | `CA:FALSE` |
| Pengidentifikasi kunci otoritas | [SKI dari sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital |
| Penggunaan kunci yang diperpanjang | Penting, penandatanganan OCSP |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### Definisi CACertificate Root/V1
Templat ini digunakan untuk menerbitkan sertifikat CA akar yang ditandatangani sendiri. Sertifikat CA menyertakan ekstensi kendala dasar kritis dengan bidang CA yang disetel `TRUE` untuk menetapkan bahwa sertifikat dapat digunakan untuk menerbitkan sertifikat CA. Template tidak menentukan panjang jalur ([pathLenConstraint](PcaTerms.md#terms-pathlength)) karena ini dapat menghambat ekspansi hierarki di masa depan. Penggunaan kunci yang diperpanjang dikecualikan untuk mencegah penggunaan sertifikat CA sebagai klien TLS atau sertifikat server. Tidak ada informasi CRL yang ditentukan karena sertifikat yang ditandatangani sendiri tidak dapat dicabut.
**CACertificateAkar/V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE` |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Kritis, tanda tangan digital, keyCertSign, tanda CRL |
| Titik distribusi CRL | N/A |
### Definisi Root CACertificate \$1 APIPassthrough /V1
Template ini memperluas CACertificate Root/V1 untuk mendukung nilai passthrough API.
**Akar CACertificate \$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE` |
| Pengidentifikasi kunci otoritas | [Passthrough dari API] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Kritis, tanda tangan digital, keyCertSign, tanda CRL |
| Titik distribusi CRL\$1 | N/A |
### BlankRootCACertificate\$1 APIPassthrough /V1 definisi
Dengan templat sertifikat root kosong, Anda dapat menerbitkan root certificate hanya dengan batasan dasar X.509. Ini adalah sertifikat root paling sederhana yang AWS Private CA dapat diterbitkan, tetapi dapat disesuaikan menggunakan struktur API. Ekstensi kendala dasar menentukan apakah sertifikat tersebut adalah sertifikat CA atau tidak. Sebuah template sertifikat root kosong memberlakukan nilai `TRUE` untuk kendala dasar untuk memastikan bahwa sertifikat CA root dikeluarkan.
Anda dapat menggunakan templat root passthrough kosong untuk mengeluarkan sertifikat root yang memerlukan nilai khusus untuk penggunaan kunci (KU). Misalnya, penggunaan kunci mungkin memerlukan `keyCertSign` dan`cRLSign`, tetapi tidak`digitalSignature`. Tidak seperti template sertifikat passthrough root non-blank lainnya, templat sertifikat root kosong memungkinkan konfigurasi ekstensi KU, di mana KU dapat berupa salah satu dari sembilan nilai yang didukung (`digitalSignature`,,`nonRepudiation`,`keyEncipherment`,`dataEncipherment`,`keyAgreement`, `keyCertSign` `cRLSign``encipherOnly`, dan`decipherOnly`).
**BlankRootCACertificate\$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE` |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
### BlankRootCACertificatePathLen\$1 APIPassthrough 0\$1/V1 definisi
Untuk informasi umum tentang templat CA root kosong, lihat[BlankRootCACertificate\$1 APIPassthrough /V1 definisi](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 0` |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
### BlankRootCACertificatePathLen\$1 APIPassthrough 1\$1/V1 definisi
Untuk informasi umum tentang templat CA root kosong, lihat[BlankRootCACertificate\$1 APIPassthrough /V1 definisi](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 1` |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
### BlankRootCACertificatePathLen\$1 APIPassthrough 2\$1/V1 definisi
Untuk informasi umum tentang templat CA root kosong, lihat[BlankRootCACertificate\$1 APIPassthrough /V1 definisi](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 2` |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
### BlankRootCACertificatePathLen\$1 APIPassthrough 3\$1/V1 definisi
Untuk informasi umum tentang templat CA root kosong, lihat[BlankRootCACertificate\$1 APIPassthrough /V1 definisi](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 3` |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
### Definisi bawahan CACertificate \$1 PathLen 0/V1
Template ini digunakan untuk menerbitkan sertifikat CA bawahan dengan panjang jalur. `0` Sertifikat CA menyertakan ekstensi kendala dasar kritis dengan bidang CA yang disetel `TRUE` untuk menetapkan bahwa sertifikat dapat digunakan untuk menerbitkan sertifikat CA. Penggunaan kunci yang diperpanjang tidak disertakan, sehingga sertifikat CA tidak digunakan sebagai klien TLS atau sertifikat server.
Untuk informasi selengkapnya tentang jalur sertifikat, lihat [Menetapkan Batasan Panjang di Jalur Sertifikat](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Bawahan CACertificate \$1 0/V1 PathLen**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 0` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam sertifikat yang dikeluarkan dengan templat ini hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 0\$1/V1 APICSRPassthrough
Template ini memperluas Subordinate CACertificate \$1 PathLen 0/V1 untuk mendukung nilai passthrough API dan CSR.
**Bawahan CACertificate \$1 PathLen 0\$1/V1 APICSRPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 0` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 0\$1/V1 APIPassthrough
Template ini memperluas Bawahan CACertificate \$1 PathLen 0/V1 untuk mendukung nilai passthrough API.
**Bawahan CACertificate \$1 PathLen 0\$1/V1 APIPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 0` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 0\$1/V1 CSRPassthrough
Template ini identik dengan `SubordinateCACertificate_PathLen0` template dengan satu perbedaan: Dalam template ini, AWS Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di CSR.
**catatan**
CSR yang berisi ekstensi tambahan khusus harus dibuat di luar. AWS Private CA
**Bawahan CACertificate \$1 PathLen 0\$1/V1 CSRPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 0` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam sertifikat yang diterbitkan dengan templat ini hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### Definisi bawahan CACertificate \$1 PathLen 1/V1
Template ini digunakan untuk menerbitkan sertifikat CA bawahan dengan panjang jalur. `1` Sertifikat CA menyertakan ekstensi batasan Dasar yang penting dengan bidang CA yang diatur ke `TRUE` untuk menunjukkan bahwa sertifikat dapat digunakan untuk menerbitkan sertifikat CA. Penggunaan kunci yang diperpanjang tidak disertakan, sehingga sertifikat CA tidak digunakan sebagai klien TLS atau sertifikat server.
Untuk informasi selengkapnya tentang jalur sertifikat, lihat [Menetapkan Batasan Panjang di Jalur Sertifikat](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Bawahan CACertificate \$1 1/V1 PathLen**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 1` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1Titik distribusi CRL disertakan dalam sertifikat yang diterbitkan dengan templat ini hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 1\$1/V1 APICSRPassthrough
Template ini memperluas Subordinate CACertificate \$1 PathLen 1/V1 untuk mendukung nilai passthrough API dan CSR.
**Bawahan CACertificate \$1 PathLen 1\$1/V1 APICSRPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 1` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 1\$1/V1 APIPassthrough
Template ini memperluas Bawahan CACertificate \$1 PathLen 0/V1 untuk mendukung nilai passthrough API.
**Bawahan CACertificate \$1 PathLen 1\$1/V1 APIPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 1` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 1\$1/V1 CSRPassthrough
Template ini identik dengan `SubordinateCACertificate_PathLen1` template dengan satu perbedaan: Dalam template ini, AWS Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di CSR.
**catatan**
CSR yang berisi ekstensi tambahan khusus harus dibuat di luar. AWS Private CA
**Bawahan CACertificate \$1 PathLen 1\$1/V1 CSRPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 1` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam sertifikat yang diterbitkan dengan templat ini hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### Definisi bawahan CACertificate \$1 PathLen 2/V1
Templat ini digunakan untuk menerbitkan sertifikat CA bawahan dengan panjang jalur 2. Sertifikat CA menyertakan ekstensi batasan Dasar yang penting dengan bidang CA yang diatur ke `TRUE` untuk menunjukkan bahwa sertifikat dapat digunakan untuk menerbitkan sertifikat CA. Penggunaan kunci yang diperpanjang tidak disertakan, sehingga sertifikat CA tidak digunakan sebagai klien TLS atau sertifikat server.
Untuk informasi selengkapnya tentang jalur sertifikat, lihat [Menetapkan Batasan Panjang di Jalur Sertifikat](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Bawahan CACertificate \$1 2/V1 PathLen**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 2` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1Titik distribusi CRL disertakan dalam sertifikat yang diterbitkan dengan templat ini hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 2\$1/V1 APICSRPassthrough
Template ini memperluas Subordinate CACertificate \$1 PathLen 2/V1 untuk mendukung nilai passthrough API dan CSR.
**Bawahan CACertificate \$1 PathLen 2\$1/V1 APICSRPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 2` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 2\$1/V1 APIPassthrough
Template ini memperluas Bawahan CACertificate \$1 PathLen 2/V1 untuk mendukung nilai passthrough API.
**Bawahan CACertificate \$1 PathLen 2\$1/V1 APIPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 2` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 2\$1/V1 CSRPassthrough
Template ini identik dengan `SubordinateCACertificate_PathLen2` template dengan satu perbedaan: Dalam template ini, AWS Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di CSR.
**catatan**
CSR yang berisi ekstensi tambahan khusus harus dibuat di luar. AWS Private CA
**Bawahan CACertificate \$1 PathLen 2\$1/V1 CSRPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 2` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam sertifikat yang diterbitkan dengan templat ini hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### Definisi bawahan CACertificate \$1 PathLen 3/V1
Templat ini digunakan untuk menerbitkan sertifikat CA bawahan dengan panjang jalur 3. Sertifikat CA menyertakan ekstensi batasan Dasar yang penting dengan bidang CA yang diatur ke `TRUE` untuk menunjukkan bahwa sertifikat dapat digunakan untuk menerbitkan sertifikat CA. Penggunaan kunci yang diperpanjang tidak disertakan, sehingga sertifikat CA tidak digunakan sebagai klien TLS atau sertifikat server.
Untuk informasi selengkapnya tentang jalur sertifikat, lihat [Menetapkan Batasan Panjang di Jalur Sertifikat](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).
**Bawahan CACertificate \$1 3/V1 PathLen**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 3` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1Titik distribusi CRL disertakan dalam sertifikat yang diterbitkan dengan templat ini hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 3\$1/V1 APICSRPassthrough
Template ini memperluas Subordinate CACertificate \$1 PathLen 3/V1 untuk mendukung nilai passthrough API dan CSR.
**Bawahan CACertificate \$1 PathLen 3\$1 /V1 APICSRPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 3` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 3\$1/V1 APIPassthrough
Template ini memperluas Bawahan CACertificate \$1 PathLen 3/V1 untuk mendukung nilai passthrough API.
**Bawahan CACertificate \$1 PathLen 3\$1 /V1 APIPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari API atau CSR] |
| Subjek | [Passthrough dari API atau CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 3` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA] |
\$1 Titik distribusi CRL disertakan dalam templat hanya jika CA dikonfigurasi dengan generasi CRL diaktifkan.
### Definisi bawahan CACertificate PathLen \$1 3\$1/V1 CSRPassthrough
Template ini identik dengan `SubordinateCACertificate_PathLen3` template dengan satu perbedaan: Dalam template ini, AWS Private CA meneruskan ekstensi tambahan dari permintaan penandatanganan sertifikat (CSR) ke dalam sertifikat jika ekstensi tidak ditentukan dalam template. Ekstensi yang ditentukan dalam templat selalu menimpa ekstensi di CSR.
**catatan**
CSR yang berisi ekstensi tambahan khusus harus dibuat di luar. AWS Private CA
**Bawahan CACertificate \$1 PathLen 3\$1 /V1 CSRPassthrough**
| Parameter X509v3 | Nilai |
| --- | --- |
| Nama alternatif subjek | [Passthrough dari CSR] |
| Subjek | [Passthrough dari CSR] |
| Kendala Dasar | Penting, `CA:TRUE`, `pathlen: 3` |
| Pengidentifikasi kunci otoritas | [SKI dari Sertifikat CA] |
| Pengidentifikasi kunci subjek | [Berasal dari CSR] |
| Penggunaan kunci | Penting, tanda tangan digital, `keyCertSign`, tanda tangan CRL |
| Titik distribusi CRL\$1 | [Passthrough dari konfigurasi CA atau CSR] |
\$1Titik distribusi CRL disertakan dalam sertifikat yang diterbitkan dengan templat ini hanya jika CA dikonfigurasi dengan pembuatan CRL diaktifkan.