Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Emetti e gestisci certificati in AWS Private CA
<a name="PcaUsing"></a>

Dopo aver creato e attivato un'autorità di certificazione (CA) privata e aver configurato l'accesso ad essa, tu o i tuoi utenti autorizzati potete emettere e gestire i certificati. Se non hai ancora impostato le policy AWS Identity and Access Management (IAM) per la CA, puoi saperne di più sulla loro configurazione nella sezione [Identity and Access Management](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html) di questa guida. Per informazioni sulla configurazione di CA Access in scenari con account singolo e tra account, vedere. [Controlla l'accesso alla CA privata](granting-ca-access.md)

**Topics**
+ [Emettere certificati privati per entità finali](PcaIssueCert.md)
+ [Recupera un certificato privato](PcaGetCert.md)
+ [Elenca i certificati privati](PcaListCerts.md)
+ [Esporta un certificato privato e la relativa chiave segreta](export-in-acm.md)
+ [Revoca un certificato privato](PcaRevokeCert.md)
+ [Automatizza l'esportazione di un certificato rinnovato](auto-export.md)
+ [Utilizza modelli di certificato AWS Private CA](UsingTemplates.md)

# Emettere certificati privati per entità finali
<a name="PcaIssueCert"></a>

Con una CA privata, puoi richiedere certificati privati di entità finale a AWS Certificate Manager (ACM) o. CA privata AWS Le funzionalità di entrambi i servizi vengono confrontate nella tabella seguente.


****  

|  Funzionalità  |  ACM  |  CA privata AWS  | 
| --- | --- | --- | 
|  Emetti certificati per l'entità finale  |  ✓ (utilizzando [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)o la console)  |  ✓ (utilizzando [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html))  | 
|  Associazione con sistemi di bilanciamento del carico e servizi connessi a Internet AWS   |  ✓  |  Non supportata  | 
| Rinnovo gestito dei certificati | ✓ | [Supportato indirettamente tramite ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) | 
|  Supporto della console  |  ✓  |  Non supportata  | 
|  Supporto API  |  ✓  |  ✓  | 
|  Supporto per CLI  |  ✓  |  ✓  | 

Quando CA privata AWS crea un certificato, segue un modello che specifica il tipo di certificato e la lunghezza del percorso. Se non viene fornito alcun ARN del modello all'API o all'istruzione CLI che crea il certificato, per impostazione predefinita viene applicato il modello [EndEntityCertificate/V1.](template-definitions.md#EndEntityCertificate-V1) Per ulteriori informazioni sui modelli di certificato disponibili, consulta [Utilizza modelli di certificato AWS Private CA](UsingTemplates.md).

Sebbene i certificati ACM siano progettati sulla base della fiducia pubblica, soddisfano le esigenze della CA privata AWS tua PKI privata. Di conseguenza, puoi configurare i certificati utilizzando l' CA privata AWS API e la CLI in modi non consentiti da ACM. Questi sono i seguenti:
+ Creazione di un certificato con qualsiasi nome del soggetto.
+ Utilizzando uno qualsiasi degli [algoritmi di chiave privata e delle lunghezze di chiave supportati](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Utilizzando uno qualsiasi degli algoritmi di [firma supportati](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ [Specificando un periodo di validità per la [CA](PcaCreateCa.html) privata e i certificati privati.](PcaIssueCert.html)

Dopo aver creato un certificato TLS privato utilizzando CA privata AWS, puoi [importarlo](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) in ACM e utilizzarlo con un servizio supportato. AWS 

**Nota**  
I certificati creati con la procedura seguente, utilizzando il **issue-certificate** comando o con l'azione [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API, non possono essere esportati direttamente per essere utilizzati all'esterno. AWS Tuttavia, puoi utilizzare la tua CA privata per firmare i certificati emessi tramite ACM e tali certificati possono essere esportati insieme alle relative chiavi segrete. *Per ulteriori informazioni, consulta [Richiesta di un certificato privato ed Esportazione di un certificato](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) [privato](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) nella Guida per l'utente ACM.*

## Emetti un certificato standard ()AWS CLI
<a name="IssueCertCli"></a>

Puoi utilizzare il comando CA privata AWS CLI [issue-certificate o l'azione API [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)per richiedere un certificato](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) di entità finale. Questo comando richiede l'Amazon Resource Name (ARN) della CA privata che si desidera utilizzare per emettere il certificato. È inoltre necessario generare una richiesta di firma del certificato (CSR) utilizzando un programma come [OpenSSL](https://www.openssl.org/).

Se utilizzi l' CA privata AWS API o AWS CLI emetti un certificato privato, il certificato non è gestito, il che significa che non puoi utilizzare la console ACM, l'ACM CLI o l'API ACM per visualizzarlo o esportarlo e il certificato non viene rinnovato automaticamente. [Tuttavia, puoi utilizzare il comando PCA [get-certificate per recuperare i dettagli del certificato](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) e, se possiedi la CA, puoi creare un rapporto di controllo.](PcaAuditReport.md)

**Considerazioni sulla creazione di certificati**
+ In conformità con [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), la lunghezza del nome di dominio (tecnicamente, il nome comune) fornito non può superare i 64 ottetti (caratteri), compresi i punti. Per aggiungere un nome di dominio più lungo, specificalo nel campo Nome alternativo del soggetto, che supporta nomi di lunghezza massima di 253 ottetti. 
+ Se utilizzate la AWS CLI versione 1.6.3 o successiva, utilizzate il prefisso `fileb://` quando specificate file di input con codifica Base64 come. CSRs Ciò garantisce che i dati vengano CA privata AWS analizzati correttamente.

Il seguente comando OpenSSL genera una CSR e una chiave privata per un certificato:

```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```

È possibile esaminare il contenuto della CSR nel modo seguente:

```
$ openssl req -in csr.pem -text -noout
```

L'output risultante dovrebbe essere simile al seguente esempio abbreviato:

```
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Big Org, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
                    a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
                    00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
                    ...
                    aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
                    5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
                    9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
                    d3:63
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
         42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
         21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
         ....
         3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
         09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
         fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
         0b:53:e5:22
```

Il comando seguente crea un certificato. Poiché non viene specificato alcun modello, per impostazione predefinita viene emesso un certificato di entità finale di base.

```
$ aws acm-pca issue-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --csr fileb://csr.pem \
      --signing-algorithm "SHA256WITHRSA" \
      --validity Value=365,Type="DAYS"
```

L'ARN del certificato emesso viene restituito:

```
{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```

**Nota**  
CA privata AWS restituisce immediatamente un ARN con un numero di serie quando riceve il **issue-certificate** comando. Tuttavia, l'elaborazione dei certificati avviene in modo asincrono e può comunque fallire. In tal caso, anche un **get-certificate** comando che utilizza il nuovo ARN avrà esito negativo.

## Emetti un certificato con un nome oggetto personalizzato utilizzando un modello APIPassthrough
<a name="custom-subject-1"></a>

In questo esempio, viene emesso un certificato contenente elementi personalizzati del nome del soggetto. Oltre a fornire un CSR come quello in dotazione[Emetti un certificato standard ()AWS CLI](#IssueCertCli), passate due argomenti aggiuntivi al **issue-certificate** comando: l'ARN di un APIPassthrough modello e un file di configurazione JSON che specifica gli attributi personalizzati e i relativi identificatori di oggetto (). OIDs Non è possibile utilizzare insieme `StandardAttributes` a`CustomAttributes`. Tuttavia, è possibile passare standard come parte di. OIDs `CustomAttributes` Il nome OIDs del soggetto predefinito è elencato nella tabella seguente (informazioni tratte da [RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) e dal database di [riferimento Global OID](https://oidref.com)):


|  Nome del soggetto  |  Abbreviazione  |  ID dell'oggetto  | 
| --- | --- | --- | 
|  countryName  |  c  | 2.5.4.6 | 
|  commonName  |  cn  | 2.5.4.3 | 
|  DNQualifier [qualificatore di nome distinto]  |    | 2.5.4.46 | 
|  Generation Qualifier  |    | 2.5.4.44 | 
|  givenName  |    | 2.5.4.42 | 
|  iniziali  |    | 2.5.4.43 | 
|  località  |  l  | 2.5.4.7 | 
|  organizationName  |  o  | 2,5,4,10 | 
|  organizationalUnitName  |  ou  | 2,5,4,11 | 
|  pseudonimo  |    | 2.5.4.65 | 
|  Numero di serie  |    | 2.5.4.5 | 
|  st [stato]  |    | 2.5.4.8 | 
|  cognome  |  sn  | 2.5.4.4 | 
|  titolo  |    | 2,5,4,12 | 
|  Componente del dominio  |  dc  |  0.9.2342.19200300.100.1.25  | 
|  userid  |    |  0,9,2342,19200300,1001,1  | 

Il file di configurazione di esempio contiene il codice seguente: `api_passthrough_config.txt`

```
{
  "Subject": {
    "CustomAttributes": [
      {
        "ObjectIdentifier": "2.5.4.6",
        "Value": "US"
      },
      {
        "ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
        "Value": "BCDABCDA12341234"
      },
      {
        "ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
        "Value": "CDABCDAB12341234"
      }
    ]
  }
}
```

Utilizzate il seguente comando per emettere il certificato:

```
$ aws acm-pca issue-certificate \
      --validity Type=DAYS,Value=10 
      --signing-algorithm "SHA256WITHRSA" \
      --csr fileb://csr.pem \
      --api-passthrough file://api_passthrough_config.txt \
      --template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```

L'ARN del certificato emesso viene restituito:

```
{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```

Recuperate il certificato localmente come segue:

```
$ aws acm-pca get-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
      jq -r .'Certificate' > cert.pem
```

Puoi controllare il contenuto del certificato usando OpenSSL:

```
$ openssl x509 -in cert.pem -text -noout
```

**Nota**  
È anche possibile creare una CA privata che trasmetta attributi personalizzati a ciascun certificato emesso.

## Emetti un certificato con estensioni personalizzate utilizzando un APIPassthrough modello
<a name="custom-subject-2"></a>

In questo esempio, viene emesso un certificato che contiene estensioni personalizzate. Per questo è necessario passare tre argomenti al **issue-certificate** comando: l'ARN di un APIPassthrough modello e un file di configurazione JSON che specifica le estensioni personalizzate e un CSR come quello mostrato in. [Emetti un certificato standard ()AWS CLI](#IssueCertCli) 

Il file di configurazione di esempio `api_passthrough_config.txt` contiene il codice seguente:

```
{
  "Extensions": {
    "CustomExtensions": [
      {
        "ObjectIdentifier": "2.5.29.30",
        "Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
        "Critical": true
      }
    ]
  }
}
```

Il certificato personalizzato viene rilasciato come segue:

```
$ aws acm-pca issue-certificate \
      --validity Type=DAYS,Value=10 
      --signing-algorithm "SHA256WITHRSA" \
      --csr fileb://csr.pem \
      --api-passthrough file://api_passthrough_config.txt \
      --template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```

L'ARN del certificato emesso viene restituito:

```
{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```

Recuperate il certificato localmente come segue:

```
$ aws acm-pca get-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
      jq -r .'Certificate' > cert.pem
```

Puoi controllare il contenuto del certificato usando OpenSSL:

```
$ openssl x509 -in cert.pem -text -noout
```

# Recupera un certificato privato
<a name="PcaGetCert"></a>

È possibile utilizzare l' CA privata AWS API ed AWS CLI emettere un certificato privato. In tal caso, puoi utilizzare l' CA privata AWS API AWS CLI o per recuperare quel certificato. Se hai utilizzato ACM per creare la tua CA privata e per richiedere certificati, devi utilizzare ACM per esportare il certificato e la chiave privata crittografata. Per ulteriori informazioni, consulta [Esportazione di un certificato privato](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html). 

**Per recuperare un certificato di entità finale**  
Utilizzate il AWS CLI comando [get-certificate per recuperare un certificato](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) privato di entità finale. Puoi anche utilizzare l'operazione API. [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html) Ti consigliamo di formattare l'output con [jq](https://stedolan.github.io/jq/), un parser simile a sed.

**Nota**  
Se desideri revocare un certificato, puoi utilizzare il comando **get-certificate** per recuperare il numero di serie in formato esadecimale. È anche possibile creare un report di audit per recuperare il numero di serie esadecimale. Per ulteriori informazioni, consulta [Utilizza i report di controllo con la tua CA privata](PcaAuditReport.md). 

```
$ aws acm-pca get-certificate \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
      jq -r '.Certificate, .CertificateChain'
```

Questo comando restituisce il certificato e la catena di certificati nel seguente formato standard.

```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```

**Per recuperare un certificato CA**  
Puoi utilizzare l' CA privata AWS API e AWS CLI recuperare il certificato di autorità di certificazione (CA) per la tua CA privata. Esegui il comando [get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html). Puoi anche chiamare l'operazione [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html). Ti consigliamo di formattare l'output con [jq](https://stedolan.github.io/jq/), un parser simile a sed. 

```
$ aws acm-pca get-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     | jq -r '.Certificate'
```

Questo comando restituisce il certificato CA nel seguente formato standard.

```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```

# Elenca i certificati privati
<a name="PcaListCerts"></a>

Per elencare i tuoi certificati privati, genera un rapporto di controllo, recuperalo dal relativo bucket S3 e analizza il contenuto del rapporto secondo necessità. Per informazioni sulla creazione di report di CA privata AWS controllo, consulta. [Utilizza i report di controllo con la tua CA privata](PcaAuditReport.md) Per informazioni sul recupero di un oggetto da un bucket S3, consulta [Downloading an object nella](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) *Amazon Simple Storage* Service User Guide.

Gli esempi seguenti illustrano gli approcci per creare report di audit e analizzarli alla ricerca di dati utili. I risultati sono formattati in JSON e i dati vengono filtrati utilizzando [jq](https://stedolan.github.io/jq/), un parser simile a un sed.

**1. Crea un rapporto di controllo.**  
Il comando seguente genera un rapporto di controllo per una CA specificata. 

```
$ aws acm-pca create-certificate-authority-audit-report \
     --region region \     
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     --s3-bucket-name bucket_name \
     --audit-report-response-format JSON
```

In caso di successo, il comando restituisce l'ID e la posizione del nuovo rapporto di controllo.

```
{
   "AuditReportId":"audit_report_ID",
   "S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```

**2. Recupera e formatta un rapporto di controllo.**  
Questo comando recupera un rapporto di controllo, ne visualizza il contenuto in uno standard output e filtra i risultati per mostrare solo i certificati emessi a partire dal 01/12/2020 o dopo.

```
$ aws s3api get-object \
     --region region \
     --bucket bucket_name \
     --key audit-report/CA_ID/audit_report_ID.json \
     /dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```

Gli articoli restituiti sono simili ai seguenti:

```
{
   "awsAccountId":"account",
   "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial":"serial_number",
   "subject":"CN=pca.alpha.root2.leaf5",
   "notBefore":"2020-12-21T21:28:09+0000",
   "notAfter":"9999-12-31T23:59:59+0000",
   "issuedAt":"2020-12-21T22:28:09+0000",
   "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**3. Salva un rapporto di controllo localmente.**  
Se si desidera eseguire più interrogazioni, è consigliabile salvare un rapporto di controllo in un file locale.

```
$ aws s3api get-object \
     --region region \
     --bucket bucket_name \
     --key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```

Lo stesso filtro di prima produce lo stesso risultato:

```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
   "awsAccountId":"account",
   "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial":"serial_number",
   "subject":"CN=pca.alpha.root2.leaf5",
   "notBefore":"2020-12-21T21:28:09+0000",
   "notAfter":"9999-12-31T23:59:59+0000",
   "issuedAt":"2020-12-21T22:28:09+0000",
   "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**4. Interrogazione all'interno di un intervallo di date**  
È possibile eseguire una query per i certificati emessi entro un intervallo di date nel modo seguente:

```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```

Il contenuto filtrato viene visualizzato nello standard output:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf1",
   "notBefore": "2020-11-06T19:18:21+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:18:22+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.rsa2048sha256",
   "notBefore": "2020-11-06T19:15:46+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:15:46+0000",
   "templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf2",
   "notBefore": "2020-11-06T20:04:39+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T21:04:39+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**5. Cerca i certificati seguendo un modello specificato.**  
Il comando seguente filtra il contenuto del report utilizzando un modello ARN:

```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```

L'output mostra i record dei certificati corrispondenti:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.rsa2048sha256",
   "notBefore": "2020-11-06T19:15:46+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:15:46+0000",
   "templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```

**6. Filtro per i certificati revocati**  
Per trovare tutti i certificati revocati, usa il seguente comando:

```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```

Un certificato revocato viene visualizzato come segue:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf2",
   "notBefore": "2020-11-06T20:04:39+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T21:04:39+0000",
   "revokedAt": "2021-05-27T18:57:32+0000",
   "revocationReason": "UNSPECIFIED",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**7. Filtrare utilizzando un'espressione regolare.**  
Il comando seguente cerca i nomi dei soggetti che contengono la stringa «leaf»:

```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```

I record dei certificati corrispondenti vengono restituiti come segue:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.roo2.leaf4",
   "notBefore": "2020-11-16T18:17:10+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-16T19:17:12+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf5",
   "notBefore": "2020-12-21T21:28:09+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-12-21T22:28:09+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf1",
   "notBefore": "2020-11-06T19:18:21+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:18:22+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

# Esporta un certificato privato e la relativa chiave segreta
<a name="export-in-acm"></a>

CA privata AWS non può esportare direttamente un certificato privato che ha firmato ed emesso. Tuttavia, è possibile utilizzare AWS Certificate Manager per esportare tale certificato insieme alla relativa chiave segreta crittografata. Il certificato è quindi completamente portatile per essere distribuito ovunque nella tua PKI privata. Per ulteriori informazioni, consulta [Esportazione di un certificato privato nella Guida](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) per l' AWS Certificate Manager utente.

Come ulteriore vantaggio, AWS Certificate Manager offre il rinnovo gestito per i certificati privati emessi utilizzando la console ACM, l'`RequestCertificate`azione dell'API ACM o il **request-certificate** comando nella sezione ACM del. AWS CLI Per ulteriori informazioni sui rinnovi, consulta Rinnovo dei [certificati in una PKI](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html) privata.

# Revoca un certificato privato
<a name="PcaRevokeCert"></a>

Puoi revocare un CA privata AWS certificato utilizzando il comando [revoke-certificate o l'azione API](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI . [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) Potrebbe essere necessario revocare un certificato prima della scadenza pianificata se, ad esempio, la chiave segreta è compromessa o il dominio associato non è valido. Affinché la revoca sia effettiva, il client che utilizza il certificato deve poter verificare lo stato della revoca ogni volta che tenta di creare una connessione di rete sicura.

CA privata AWS fornisce due meccanismi completamente gestiti per supportare il controllo dello stato di revoca: Online Certificate Status Protocol (OCSP) e gli elenchi di revoca dei certificati (). CRLs Con OCSP, il client interroga un database di revoca autorevole che restituisce uno stato in tempo reale. Con un CRL, il client confronta il certificato con un elenco di certificati revocati che scarica e archivia periodicamente. I client si rifiutano di accettare i certificati che sono stati revocati. 

Sia OCSP che OCSP CRLs dipendono dalle informazioni di convalida incorporate nei certificati. Per questo motivo, una CA emittente deve essere configurata per supportare uno o entrambi questi meccanismi prima dell'emissione. Per informazioni sulla selezione e l'implementazione della revoca gestita tramite CA privata AWS, vedere. [AWS Private CA Pianifica il tuo metodo di revoca dei certificati](revocation-setup.md)

I certificati revocati vengono sempre registrati nei rapporti di CA privata AWS controllo. 

**Nota**  
Per chi chiama con più account, è richiesta una condivisione con l'`AWSRAMRevokeCertificateCertificateAuthority`autorizzazione. Le autorizzazioni di revoca non sono incluse in. `AWSRAMDefaultPermissionCertificateAuthority` Per consentire la revoca da parte degli emittenti di account diversi, l'amministratore della CA deve creare due condivisioni RAM, entrambe indirizzate alla stessa CA:  
Una condivisione con l'autorizzazione. `AWSRAMRevokeCertificateCertificateAuthority`
Una condivisione con il `AWSRAMDefaultPermissionCertificateAuthority` permesso.

**Per revocare un certificato**  
Utilizza l'azione [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API o il comando [revoke-certificate per revocare un certificato](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) PKI privato. Il numero di serie deve essere in formato esadecimale. Puoi recuperare il numero di serie chiamando il comando [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html). Il comando `revoke-certificate` non restituisce una risposta. 

```
$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"
```

## Certificati revocati e OCSP
<a name="PcaRevokeOcsp"></a>

Le risposte OCSP possono richiedere fino a 60 minuti per riflettere il nuovo stato quando si revoca un certificato. In generale, OCSP tende a supportare una distribuzione più rapida delle informazioni di revoca perché, a differenza di quelle CRLs che possono essere memorizzate nella cache dai client per giorni, le risposte OCSP in genere non vengono memorizzate nella cache dai client.

## Certificati revocati in un CRL
<a name="PcaRevokeCrl"></a>

Generalmente un CRL viene aggiornato circa 30 minuti dopo che un certificato viene revocato. Se per qualsiasi motivo un aggiornamento del CRL fallisce, CA privata AWS effettua ulteriori tentativi ogni 15 minuti.

Con Amazon CloudWatch, puoi creare allarmi per le metriche `CRLGenerated` e. `MisconfiguredCRLBucket` Per ulteriori informazioni, consulta Metriche [supportate CloudWatch](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html). Per ulteriori informazioni sulla creazione e la configurazione CRLs, consulta. [Imposta un CRL per AWS Private CA](crl-planning.md) 

L'esempio seguente mostra un certificato revocato in un elenco di revoche di certificati (CRL).

```
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76
```

## Certificati revocati in un report di audit
<a name="PcaRevokeAuditReport"></a>

Tutti i certificati, inclusi i certificati revocati, sono inclusi nel report di audit per una CA privata. L'esempio seguente mostra un report di audit con un certificato emesso e uno revocato. Per ulteriori informazioni, consulta [Utilizza i report di controllo con la tua CA privata](PcaAuditReport.md). 

```
[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]
```

# Automatizza l'esportazione di un certificato rinnovato
<a name="auto-export"></a>

Quando crei una CA, puoi CA privata AWS importarla AWS Certificate Manager e lasciare che ACM gestisca l'emissione e il rinnovo dei certificati. Se un certificato da rinnovare è associato a un [servizio integrato, il servizio](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) applica senza problemi il nuovo certificato. Tuttavia, se il certificato è stato originariamente [esportato per essere](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) utilizzato altrove nell'ambiente PKI (ad esempio, in un server o un'appliance locale), è necessario esportarlo nuovamente dopo il rinnovo. 

Per una soluzione di esempio che automatizza il processo di esportazione ACM utilizzando Amazon e EventBridge AWS Lambda, consulta [Automatizzare](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export) l'esportazione di certificati rinnovati.

# Utilizza modelli di certificato AWS Private CA
<a name="UsingTemplates"></a>

CA privata AWS utilizza modelli di configurazione per emettere certificati CA e certificati di entità finale. Quando si emette un certificato CA dalla console PCA, viene applicato automaticamente il modello di certificato CA principale o subordinato appropriato. 

Se utilizzi la CLI o l'API per emettere un certificato, puoi fornire un modello ARN come parametro dell'azione. `IssueCertificate` Se non si fornisce alcun ARN, il `EndEntityCertificate/V1` modello viene applicato per impostazione predefinita. Per ulteriori informazioni, consulta la documentazione relativa all'[IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API e ai [comandi issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html).

**Nota**  
AWS Certificate Manager (ACM) gli utenti con accesso condiviso tra più account a una CA privata possono emettere certificati gestiti firmati dalla CA. Gli emittenti con più account sono vincolati da una politica basata sulle risorse e hanno accesso solo ai seguenti modelli di certificato per entità finali:  
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1/V1 APIPassthrough](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[Subordinato \$1 0/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
Per ulteriori informazioni, consulta [Policy basate sulle risorse](pca-rbp.md).

**Topics**
+ [AWS Private CA varietà di modelli](template-varieties.md)
+ [AWS Private CA modello di ordine delle operazioni](template-order-of-operations.md)
+ [AWS Private CA definizioni dei modelli](template-definitions.md)

# AWS Private CA varietà di modelli
<a name="template-varieties"></a>

CA privata AWS supporta quattro varietà di modelli.
+ **Modelli di base**

  Modelli predefiniti in cui non sono consentiti parametri passthrough.
+ **CSRPassthrough modelli**

  Modelli che estendono le versioni dei modelli di base corrispondenti consentendo il passaggio alla CSR. Le estensioni della CSR utilizzata per emettere il certificato vengono copiate nel certificato emesso. Nei casi in cui la CSR contenga valori di estensione in conflitto con la definizione del modello, la definizione del modello avrà sempre la priorità più alta. Per ulteriori dettagli sulla priorità, consulta[AWS Private CA modello di ordine delle operazioniModello di ordine delle operazioni](template-order-of-operations.md).
+ **APIPassthrough modelli**

  Modelli che estendono le versioni dei modelli di base corrispondenti consentendo il passthrough delle API. I valori dinamici noti all'amministratore o ad altri sistemi intermedi potrebbero non essere noti all'entità che richiede il certificato, essere impossibili da definire in un modello e potrebbero non essere disponibili nella CSR. L'amministratore della CA, tuttavia, può recuperare informazioni aggiuntive da un'altra fonte di dati, ad esempio Active Directory, per completare la richiesta. Ad esempio, se una macchina non sa a quale unità organizzativa appartiene, l'amministratore può cercare le informazioni in Active Directory e aggiungerle alla richiesta di certificato includendo le informazioni in una struttura JSON.

  I valori nel `ApiPassthrough` parametro dell'`IssueCertificate`azione `` vengono copiati nel certificato emesso. Nei casi in cui il `ApiPassthrough` parametro contenga informazioni in conflitto con la definizione del modello, la definizione del modello avrà sempre la priorità più alta. Per ulteriori dettagli sulla priorità, vedere[AWS Private CA modello di ordine delle operazioniModello di ordine delle operazioni](template-order-of-operations.md). 
+ **APICSRPassthrough modelli**

  Modelli che estendono le versioni dei modelli di base corrispondenti consentendo il passaggio sia dell'API che della CSR. Le estensioni del CSR utilizzate per emettere il certificato vengono copiate nel certificato emesso e vengono copiati anche i valori nel `ApiPassthrough` parametro dell'`IssueCertificate`azione. Nei casi in cui la definizione del modello, i valori passthrough dell'API e le estensioni passthrough CSR presentano un conflitto, la definizione del modello ha la massima priorità, seguita dai valori passthrough dell'API, seguiti dalle estensioni passthrough CSR. Per ulteriori dettagli sulla priorità, consulta. [AWS Private CA modello di ordine delle operazioniModello di ordine delle operazioni](template-order-of-operations.md)

Le tabelle seguenti elencano tutti i tipi di modello supportati da CA privata AWS con collegamenti alle relative definizioni.

**Nota**  
Per informazioni sui modelli ARNs nelle GovCloud aree geografiche, consulta [AWS Autorità di certificazione privata](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)la *Guida AWS GovCloud (US) per l'utente*.


**Modelli di base**  

|  Nome modello  |  ARN modello  |  Tipo di certificato  | 
| --- | --- | --- | 
|  [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate/V1`  |  Firma del codice  | 
|  [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)  |  `arn:aws:acm-pca:::template/EndEntityCertificate/V1`  |  Entità finale  | 
|  [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1`  |  Entità finale  | 
|  [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)  |  `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1`  |  Entità finale  | 
|  [OCSPSigningCertificato/V1](template-definitions.md#OCSPSigningCertificate-V1)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1`  |  Firma OCSP  | 
|  [Radice/V1 CACertificate](template-definitions.md#RootCACertificate-V1)  |  `arn:aws:acm-pca:::template/RootCACertificate/V1`  |  CA  | 
|  [Subordinato \$1 0/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1`  |  CA  | 
|  [Subordinato CACertificate \$1 PathLen 1/V1](template-definitions.md#SubordinateCACertificate_PathLen1-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1`  |  CA  | 
|  [Subordinato \$1 2/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen2-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1`  |  CA  | 
|  [Subordinato \$1 3/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen3-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1`  |  CA  | 


**CSRPassthrough modelli**  

|  Nome modello  |  ARN modello  |  Tipo di certificato  | 
| --- | --- | --- | 
|  [BlankEndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1`  | Entità finale | 
|  [BlankEndEntityCertificate\$1 \$1 CriticalBasicConstraints /V1 CSRPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1`  |  Entità finale  | 
|  [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1`  |  CA  | 
|  [CodeSigningCertificate\$1 /V1 CSRPassthrough](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1`  |  Firma del codice  | 
|  [EndEntityCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1`  |  Entità finale  | 
|  [EndEntityClientAuthCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1`  |  Entità finale  | 
|  [EndEntityServerAuthCertificate\$1 /V1 CSRPassthrough](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1`  | Entità finale | 
|  [OCSPSigningCertificato\$1 /V1 CSRPassthrough](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1`  |  Firma OCSP  | 
|  [Subordinato \$1 0\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1`  | CA | 
|  [Subordinato \$1 1\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1`  |  CA  | 
|  [Subordinato \$1 2\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1`  |  CA  | 
|  [Subordinato \$1 3\$1 /V1 CACertificate PathLen CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1`  |  CA  | 


**APIPassthrough modelli**  

|  Nome modello  |  ARN modello  |  Tipo di certificato  | 
| --- | --- | --- | 
|  [BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1`  |  Entità finale  | 
|  [BlankEndEntityCertificate\$1 \$1 CriticalBasicConstraints /V1 APIPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1`  |  Entità finale  | 
|  [CodeSigningCertificate\$1 /V1 APIPassthrough](template-definitions.md#CodeSigningCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1`  |  Firma del codice  | 
|  [EndEntityCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1`  |  Entità finale  | 
|  [EndEntityClientAuthCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1`  |  Entità finale  | 
|  [EndEntityServerAuthCertificate\$1 /V1 APIPassthrough](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1`  |  Entità finale  | 
|  [OCSPSigningCertificato\$1 /V1 APIPassthrough](template-definitions.md#OCSPSigningCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1`  |  Firma OCSP  | 
|  [CACertificateRadice\$1/V1 APIPassthrough](template-definitions.md#RootCACertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 0\$1 PathLen /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 1\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 2\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 3\$1 /V1 PathLen APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1`  |  CA  | 
|  [Subordinato \$1 0\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1`  |  CA  | 
|  [Subordinato \$1 1\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1`  |  CA  | 
|  [Subordinato \$1 2\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1`  |  CA  | 
|  [Subordinato \$1 3\$1 /V1 CACertificate PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1`  |  CA  | 


**APICSRPassthrough modelli**  

|  Nome modello  |  ARN modello  |  Tipo di certificato  | 
| --- | --- | --- | 
|  [BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1`  |  Entità finale  | 
|  |  |  | 
|  [BlankEndEntityCertificate\$1 \$1 CriticalBasicConstraints /V1 APICSRPassthrough](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1`  | Entità finale | 
|  [CodeSigningCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#CodeSigningCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1`  |  Firma del codice  | 
|  [EndEntityCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1`  |  Entità finale  | 
|  [EndEntityClientAuthCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1`  |  Entità finale  | 
|  [EndEntityServerAuthCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough)  | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 |  Entità finale  | 
|  [OCSPSigningCertificato\$1 /V1 APICSRPassthrough](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1`  |  Firma OCSP  | 
|  [Subordinato \$1 0\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1`  |  CA  | 
|  [Subordinato \$1 1\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1`  |  CA  | 
|  [Subordinato \$1 2\$1/3\$1 CACertificate V1 PathLen APICSRPassthrough PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1`  |  CA  | 
|  [Subordinato \$1 3\$1 /V1 CACertificate PathLen APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1`  |  CA  | 

# AWS Private CA modello di ordine delle operazioni
<a name="template-order-of-operations"></a>

Le informazioni contenute in un certificato emesso possono provenire da quattro fonti: la definizione del modello, il passthrough dell'API, il passthrough CSR e la configurazione della CA.

I valori di passthrough dell'API vengono rispettati solo quando si utilizza un modello di passthrough API o un modello di passthrough APICSR. Il passthrough CSR viene rispettato solo quando si utilizza un modello passthrough o APICSR. CSRPassthrough Quando queste fonti di informazioni sono in conflitto, di solito si applica una regola generale: per ogni valore di estensione, la definizione del modello ha la massima priorità, seguita dai valori passthrough dell'API, seguiti dalle estensioni passthrough CSR.

**Esempi**

1. La definizione del modello per [EndEntityClientAuthCertificate\$1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) definisce l' ExtendedKeyUsage estensione con il valore «autenticazione del server Web TLS, autenticazione del client Web TLS». Se ExtendedKeyUsage è definito nella CSR o nel `IssueCertificate` `ApiPassthrough` parametro, il `ApiPassthrough` valore per ExtendedKeyUsage verrà ignorato perché la definizione del modello ha la priorità e il valore CSR per ExtendedKeyUsage valore verrà ignorato perché il modello non è una varietà passthrough CSR.
**Nota**  
La definizione del modello copia tuttavia altri valori del CSR, come Subject e Subject Alternative Name. Questi valori sono comunque presi dalla CSR anche se il modello non è una variante CSR passthrough, perché la definizione del modello ha sempre la massima priorità.

1. La definizione del modello per [EndEntityClientAuthCertificate\$1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) definisce l'estensione Subject Alternative Name (SAN) come se fosse copiata dall'API o dalla CSR. Se l'estensione SAN è definita nel CSR e fornita nel `IssueCertificate` ` ApiPassthrough` parametro, il valore passthrough dell'API avrà la priorità perché i valori passthrough dell'API hanno la priorità sui valori passthrough CSR.

# AWS Private CA definizioni dei modelli
<a name="template-definitions"></a>

Le seguenti sezioni forniscono dettagli di configurazione sui modelli di CA privata AWS certificato supportati. 

## BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1
<a name="BlankEndEntityCertificate_APIPassthrough"></a>

Con i modelli di certificato di entità finale vuoti, è possibile emettere certificati di entità finale con solo i vincoli X.509 Basic. Questo è il certificato per entità finale più semplice che è CA privata AWS possibile emettere, ma può essere personalizzato utilizzando la struttura dell'API. L'estensione Basic constraints definisce se il certificato è o meno un certificato CA. Un modello di certificato di entità finale vuoto impone il valore FALSE for Basic per i vincoli per garantire che venga emesso un certificato di entità finale e non un certificato CA.

È possibile utilizzare modelli passthrough vuoti per emettere certificati smart card che richiedono valori specifici per Key usage (KU) e Extended key usage (EKU). Ad esempio, l'utilizzo esteso delle chiavi può richiedere l'autenticazione del client e l'accesso con smart card, mentre l'utilizzo delle chiavi può richiedere la firma digitale, il non ripudio e la cifratura delle chiavi. A differenza di altri modelli passthrough, i modelli di certificato di entità finale vuoti consentono la configurazione delle estensioni KU ed EKU, dove KU può essere uno dei nove valori supportati (DigitalSignature, NonRepudiation, KeyEncipherment, DataEncipherment, KeyAgreement keyCertSign,RLSign, c, EncipherOnly e DecipherOnly) e EKU può essere uno qualsiasi dei valori supportati (ServerAuth, ClientAuth, coplanning, EmailProtection tim, estamping e OCSPSigning) più estensioni personalizzate.


**BlankEndEntityCertificateAPIPassthrough\$1/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  CA: FALSE  | 
|  Identificatore della chiave di autorità  | [SKI da certificato CA] | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

## BlankEndEntityCertificateDefinizione \$1 APICSRPassthrough /V1
<a name="BlankEndEntityCertificate_APICSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere. [BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough)


**BlankEndEntityCertificate\$1 APICSRPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  CA: FALSE  | 
|  Identificatore della chiave di autorità  | [SKI da certificato CA] | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

## BlankEndEntityCertificateDefinizione \$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1
<a name="BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere. [BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough)


**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, CA:FALSE  | 
|  Identificatore della chiave di autorità  | [SKI da certificato CA] | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA, API o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankEndEntityCertificateDefinizione \$1 CriticalBasicConstraints \$1 APIPassthrough /V1
<a name="BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere. [BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough)


**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, CA:FALSE  | 
|  Identificatore della chiave di autorità  | [SKI da certificato CA] | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione o dall'API CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankEndEntityCertificateDefinizione \$1 CriticalBasicConstraints \$1 CSRPassthrough /V1
<a name="BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere. [BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough)


**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, CA:FALSE  | 
|  Identificatore della chiave di autorità  | [SKI da certificato CA] | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankEndEntityCertificateDefinizione \$1 CSRPassthrough /V1
<a name="BlankEndEntityCertificate_CSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere. [BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough)


**BlankEndEntityCertificate\$1 CSRPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  CA: FALSE  | 
|  Identificatore della chiave di autorità  | [SKI da certificato CA] | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen0_CSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 0`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen0_APICSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 0`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen0_APIPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 0`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen1_APIPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 1`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen1_CSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 1`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen1_APICSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 1`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen2_APIPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 2`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen2_CSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 2`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen2_APICSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 2`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen3_APIPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 3`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen3_CSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 3`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1definizione
<a name="BlankSubordinateCACertificate_PathLen3_APICSRPassthrough"></a>

Per informazioni generali sui modelli vuoti, vedere[BlankEndEntityCertificateDefinizione \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 3`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### CodeSigningCertificateDefinizione /V1
<a name="CodeSigningCertificate-V1"></a>

Questo modello viene utilizzato per creare certificati per la firma del codice. È possibile utilizzare i certificati di firma del codice CA privata AWS con qualsiasi soluzione di firma del codice basata su un'infrastruttura CA privata. Ad esempio, i clienti che utilizzano Code Signing for AWS IoT possono generare un certificato di firma del codice con e importarlo in. CA privata AWS AWS Certificate Manager Per ulteriori informazioni, consulta A [cosa serve Code Signing](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html)? AWS IoT e [ottenere e importare un certificato di firma del codice](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html).


**CodeSigningCertificate/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  `CA:FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica  | 
|  Utilizzo esteso delle chiavi  |  Critico, firma del codice  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### CodeSigningCertificateDefinizione \$1 APICSRPassthrough /V1
<a name="CodeSigningCertificate_APICSRPassthrough"></a>

Questo modello estende CodeSigningCertificate /V1 per supportare i valori passthrough API e CSR.


**CodeSigningCertificateAPICSRPassthrough\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  `CA:FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica  | 
|  Utilizzo esteso delle chiavi  |  Critico, firma del codice  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### CodeSigningCertificateDefinizione \$1 APIPassthrough /V1
<a name="CodeSigningCertificate_APIPassthrough"></a>

Questo modello è identico al `CodeSigningCertificate` modello con una differenza: in questo modello, CA privata AWS trasmette al certificato estensioni aggiuntive tramite l'API se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nell'API.


**CodeSigningCertificate\$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  `CA:FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica  | 
|  Utilizzo esteso delle chiavi  |  Critico, firma del codice  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### CodeSigningCertificateDefinizione \$1 CSRPassthrough /V1
<a name="CodeSigningCertificate_CSRPassthrough-V1"></a>

Questo modello è identico al `CodeSigningCertificate` modello con una differenza: in questo modello, CA privata AWS passa le estensioni aggiuntive dalla richiesta di firma del certificato (CSR) al certificato se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nella CSR.


**CodeSigningCertificate\$1 CSRPassthrough /V1**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  `CA:FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica  | 
|  Utilizzo esteso delle chiavi  |  Critico, firma del codice  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityCertificateDefinizione /V1
<a name="EndEntityCertificate-V1"></a>

Questo modello viene utilizzato per creare certificati per entità finali quali sistemi operativi o server Web. 


**EndEntityCertificate/V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione server Web TLS, autenticazione client Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityCertificateDefinizione \$1 APICSRPassthrough /V1
<a name="EndEntityCertificate_APICSRPassthrough"></a>

Questo modello estende EndEntityCertificate /V1 per supportare i valori passthrough API e CSR.


**EndEntityCertificateAPICSRPassthrough\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione server Web TLS, autenticazione client Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityCertificateDefinizione \$1 APIPassthrough /V1
<a name="EndEntityCertificate_APIPassthrough"></a>

Questo modello è identico al `EndEntityCertificate` modello con una differenza: in questo modello, CA privata AWS trasmette al certificato estensioni aggiuntive tramite l'API se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nell'API.


**EndEntityCertificate\$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione server Web TLS, autenticazione client Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityCertificateDefinizione \$1 CSRPassthrough /V1
<a name="EndEntityCertificate_CSRPassthrough-V1"></a>

Questo modello è identico al `EndEntityCertificate` modello con una differenza: in questo modello, CA privata AWS passa le estensioni aggiuntive dalla richiesta di firma del certificato (CSR) al certificato se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nella CSR.


**EndEntityCertificate\$1 CSRPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione server Web TLS, autenticazione client Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityClientAuthCertificateDefinizione /V1
<a name="EndEntityClientAuthCertificate-V1"></a>

Questo modello si differenzia dall'`EndEntityCertificate`unico nel valore di utilizzo della chiave estesa, che lo limita all'autenticazione del client Web TLS.


**EndEntityClientAuthCertificate/V1**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione client Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityClientAuthCertificateDefinizione \$1 APICSRPassthrough /V1
<a name="EndEntityClientAuthCertificate_APICSRPassthrough"></a>

Questo modello estende EndEntityClientAuthCertificate /V1 per supportare i valori passthrough API e CSR.


**EndEntityClientAuthCertificateAPICSRPassthrough\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione client Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityClientAuthCertificateDefinizione \$1 APIPassthrough /V1
<a name="EndEntityClientAuthCertificate_APIPassthrough"></a>

Questo modello è identico al modello `EndEntityClientAuthCertificate` con una differenza. In questo modello, CA privata AWS passa le estensioni aggiuntive al certificato tramite l'API se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nell'API.


**EndEntityClientAuthCertificate\$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione client Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityClientAuthCertificateDefinizione \$1 CSRPassthrough /V1
<a name="EndEntityClientAuthCertificate_CSRPassthrough-V1"></a>

Questo modello è identico al modello `EndEntityClientAuthCertificate` con una differenza. In questo modello, CA privata AWS passa le estensioni aggiuntive dalla richiesta di firma del certificato (CSR) al certificato se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nella CSR.


**EndEntityClientAuthCertificate\$1 CSRPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
| Utilizzo delle chiavi |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione client Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityServerAuthCertificateDefinizione /V1
<a name="EndEntityServerAuthCertificate-V1"></a>

Questo modello si differenzia dall'`EndEntityCertificate`unico nel valore di utilizzo della chiave estesa, che lo limita all'autenticazione del server Web TLS.


**EndEntityServerAuthCertificate/V1**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione del server Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityServerAuthCertificateDefinizione \$1 APICSRPassthrough /V1
<a name="EndEntityServerAuthCertificate_APICSRPassthrough"></a>

Questo modello estende EndEntityServerAuthCertificate /V1 per supportare i valori passthrough API e CSR.


**EndEntityServerAuthCertificateAPICSRPassthrough\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione del server Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityServerAuthCertificateDefinizione \$1 APIPassthrough /V1
<a name="EndEntityServerAuthCertificate_APIPassthrough"></a>

Questo modello è identico al modello `EndEntityServerAuthCertificate` con una differenza. In questo modello, CA privata AWS passa le estensioni aggiuntive al certificato tramite l'API se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nell'API.


**EndEntityServerAuthCertificate\$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione del server Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### EndEntityServerAuthCertificateDefinizione \$1 CSRPassthrough /V1
<a name="EndEntityServerAuthCertificate_CSRPassthrough-V1"></a>

Questo modello è identico al modello `EndEntityServerAuthCertificate` con una differenza. In questo modello, CA privata AWS passa le estensioni aggiuntive dalla richiesta di firma del certificato (CSR) al certificato se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nella CSR.


**EndEntityServerAuthCertificate\$1 CSRPassthrough /V1**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  CA:`FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica, cifratura delle chiavi  | 
|  Utilizzo esteso delle chiavi  |  Autenticazione del server Web TLS  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### OCSPSigningDefinizione del certificato/V1
<a name="OCSPSigningCertificate-V1"></a>

Questo modello viene utilizzato per creare certificati per la firma delle risposte OCSP. Il modello è identico al `CodeSigningCertificate` modello, tranne per il fatto che il valore di utilizzo della chiave estesa specifica la firma OCSP anziché la firma del codice.


**OCSPSigningCertificato/V1**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  `CA:FALSE`  | 
| Identificatore della chiave di autorità |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  | Firma digitale critica | 
|  Utilizzo esteso delle chiavi  |  Firma OCSP critica  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### OCSPSigningDefinizione del certificato\$1 APICSRPassthrough /V1
<a name="OCSPSigningCertificate_APICSRPassthrough"></a>

Questo modello estende il OCSPSigning Certificate/V1 per supportare i valori passthrough API e CSR.


**OCSPSigningCertificato\$1 /V1 APICSRPassthrough**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  `CA:FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  | Firma digitale critica | 
|  Utilizzo esteso delle chiavi  |  Firma OCSP critica  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### OCSPSigningDefinizione del certificato\$1 APIPassthrough /V1
<a name="OCSPSigningCertificate_APIPassthrough"></a>

Questo modello è identico al modello `OCSPSigningCertificate` con una differenza. In questo modello, CA privata AWS passa le estensioni aggiuntive al certificato tramite l'API se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nell'API.


**OCSPSigningCertificato\$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  `CA:FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  | Firma digitale critica | 
|  Utilizzo esteso delle chiavi  |  Firma OCSP critica  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### OCSPSigningDefinizione del certificato\$1 CSRPassthrough /V1
<a name="OCSPSigningCertificate_CSRPassthrough-V1"></a>

Questo modello è identico al modello `OCSPSigningCertificate` con una differenza. In questo modello, CA privata AWS passa le estensioni aggiuntive dalla richiesta di firma del certificato (CSR) al certificato se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nella CSR.


**OCSPSigningCertificato\$1 CSRPassthrough /V1**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  `CA:FALSE`  | 
|  Identificatore della chiave di autorità  |  [SKI da certificato CA]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  | Firma digitale critica | 
|  Utilizzo esteso delle chiavi  |  Firma OCSP critica  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### Definizione Root CACertificate /V1
<a name="RootCACertificate-V1"></a>

Questo modello viene utilizzato per rilasciare certificati emessi da una CA root autofirmati. I certificati emessi da una CA includono un'estensione dei vincoli di base critici con il campo CA impostato su `TRUE` per indicare che il certificato può essere utilizzato per emettere certificati emessi da una CA. Il modello non specifica una lunghezza del percorso ([pathLenConstraint](PcaTerms.md#terms-pathlength)) perché ciò potrebbe inibire le future espansioni della gerarchia. L'utilizzo esteso della chiave è escluso per impedire l'utilizzo del certificato emesso da una CA come certificato client o server TLS. Nessuna informazione CRL è specificata perché un certificato autofirmato non può essere revocato.


**Radice /V1 CACertificate**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`  | 
|  Identificatore chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica keyCertSign, segno CRL  | 
|  Punti di distribuzione CRL  |  N/D  | 

### Definizione Root CACertificate \$1 APIPassthrough /V1
<a name="RootCACertificate_APIPassthrough"></a>

Questo modello estende Root CACertificate /V1 per supportare i valori passthrough delle API.


**Root \$1 /V1 CACertificate APIPassthrough**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`  | 
|  Identificatore della chiave di autorità  |  [Passthrough dall'API]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica keyCertSign, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  N/D  | 

### BlankRootCACertificateDefinizione \$1 /V1 APIPassthrough
<a name="BlankRootCACertificate_APIPassthrough"></a>

Con i modelli di certificato radice vuoti, è possibile emettere certificati radice con solo i vincoli di base X.509. Questo è il certificato radice più semplice che è CA privata AWS possibile emettere, ma può essere personalizzato utilizzando la struttura dell'API. L'estensione Basic Constraints definisce se il certificato è o meno un certificato CA. Un modello di certificato radice vuoto impone un valore pari a quattro vincoli di base `TRUE` per garantire l'emissione di un certificato CA radice.

È possibile utilizzare modelli root passthrough vuoti per emettere certificati radice che richiedono valori specifici per l'utilizzo delle chiavi (KU). Ad esempio, l'utilizzo delle chiavi potrebbe richiedere `keyCertSign` and`cRLSign`, ma non`digitalSignature`. A differenza degli altri modelli di certificato root passthrough non vuoto, i modelli di certificato radice vuoti consentono la configurazione dell'estensione KU, dove KU può essere uno qualsiasi dei nove valori supportati (`digitalSignature``nonRepudiation`,`keyEncipherment`,`dataEncipherment`,`keyAgreement`,, `keyCertSign` `cRLSign``encipherOnly`, e`decipherOnly`). 


**BlankRootCACertificate\$1 /V1 APIPassthrough**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`  | 
|  Identificatore chiave dell'oggetto  |  [Derivato da CSR]  | 

### BlankRootCACertificate\$1 PathLen 0\$1 APIPassthrough /V1 definizione
<a name="BlankRootCACertificate_PathLen0_APIPassthrough"></a>

Per informazioni generali sui modelli CA root vuoti, vedere. [BlankRootCACertificateDefinizione \$1 /V1 APIPassthrough](#BlankRootCACertificate_APIPassthrough)


**BlankRootCACertificate\$1 PathLen 0\$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 0`  | 
|  Identificatore chiave dell'oggetto  |  [Derivato da CSR]  | 

### BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1 definizione
<a name="BlankRootCACertificate_PathLen1_APIPassthrough"></a>

Per informazioni generali sui modelli CA root vuoti, vedere. [BlankRootCACertificateDefinizione \$1 /V1 APIPassthrough](#BlankRootCACertificate_APIPassthrough)


**BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 1`  | 
|  Identificatore chiave dell'oggetto  |  [Derivato da CSR]  | 

### BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1 definizione
<a name="BlankRootCACertificate_PathLen2_APIPassthrough"></a>

Per informazioni generali sui modelli CA root vuoti, vedere. [BlankRootCACertificateDefinizione \$1 /V1 APIPassthrough](#BlankRootCACertificate_APIPassthrough)


**BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 2`  | 
|  Identificatore chiave dell'oggetto  |  [Derivato da CSR]  | 

### BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1 definizione
<a name="BlankRootCACertificate_PathLen3_APIPassthrough"></a>

Per informazioni generali sui modelli CA root vuoti, vedere. [BlankRootCACertificateDefinizione \$1 /V1 APIPassthrough](#BlankRootCACertificate_APIPassthrough)


**BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 3`  | 
|  Identificatore chiave dell'oggetto  |  [Derivato da CSR]  | 

### Definizione Subordinata CACertificate \$1 PathLen 0/V1
<a name="SubordinateCACertificate_PathLen0-V1"></a>

Questo modello viene utilizzato per emettere certificati CA subordinati con una lunghezza del percorso di. `0` I certificati emessi da una CA includono un'estensione dei vincoli di base critici con il campo CA impostato su `TRUE` per indicare che il certificato può essere utilizzato per emettere certificati emessi da una CA. L'utilizzo esteso della chiave non è incluso, il che impedisce l'utilizzo del certificato emesso da una CA come certificato client o server TLS.

Per ulteriori informazioni sui percorsi di certificazione, consulta [Impostazione dei vincoli di lunghezza nel percorso di certificazione](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Subordinato \$1 0/V1 CACertificate PathLen**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 0`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1I punti di distribuzione CRL sono inclusi nei certificati emessi con questo modello solo se la CA è configurata con la generazione di CRL abilitata.

### Definizione subordinata \$1 0\$1 CACertificate /V1 PathLen APICSRPassthrough
<a name="SubordinateCACertificate_PathLen0_APICSRPassthrough"></a>

Questo modello estende Subordinate CACertificate \$1 PathLen 0/V1 per supportare i valori passthrough API e CSR.


**CACertificatePathLenAPICSRPassthroughSubordinato \$1 0\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 0`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### Definizione subordinata CACertificate \$1 0\$1 PathLen /V1 APIPassthrough
<a name="SubordinateCACertificate_PathLen0_APIPassthrough"></a>

Questo modello estende Subordinate CACertificate \$1 PathLen 0/V1 per supportare i valori passthrough delle API.


**CACertificatePathLenAPIPassthroughSubordinato \$1 0\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 0`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### Definizione subordinata CACertificate \$1 0\$1 PathLen /V1 CSRPassthrough
<a name="SubordinateCACertificate_PathLen0_CSRPassthrough-V1"></a>

Questo modello è identico al `SubordinateCACertificate_PathLen0` modello con una differenza: in questo modello, CA privata AWS passa le estensioni aggiuntive dalla richiesta di firma del certificato (CSR) al certificato se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nella CSR.

**Nota**  
Una CSR che contenga estensioni aggiuntive personalizzate deve essere creata all'esterno di. CA privata AWS


**Subordinato CACertificate \$1 0\$1 PathLen /V1 CSRPassthrough**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 0`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nei certificati emessi con questo modello solo se la CA è configurata con la generazione CRL abilitata.

### Definizione subordinata \$1 1/V1 CACertificate PathLen
<a name="SubordinateCACertificate_PathLen1-V1"></a>

Questo modello viene utilizzato per emettere certificati CA subordinati con una lunghezza del percorso di. `1` I certificati CA includono un'estensione fondamentale dei vincoli Basic con il campo CA impostato su `TRUE` per indicare che il certificato può essere utilizzato per emettere certificati CA. L'utilizzo esteso della chiave non è incluso, il che impedisce l'utilizzo del certificato emesso da una CA come certificato client o server TLS.

Per ulteriori informazioni sui percorsi di certificazione, consulta [Impostazione dei vincoli di lunghezza nel percorso di certificazione](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Subordinato \$1 1/V1 CACertificate PathLen**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 1`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1I punti di distribuzione CRL sono inclusi nei certificati emessi con questo modello solo se la CA è configurata con la generazione CRL abilitata.

### Definizione subordinata CACertificate \$1 PathLen 1\$1 /V1 APICSRPassthrough
<a name="SubordinateCACertificate_PathLen1_APICSRPassthrough"></a>

Questo modello estende Subordinate CACertificate \$1 PathLen 1/V1 per supportare i valori passthrough API e CSR.


**CACertificatePathLenAPICSRPassthroughSubordinato \$1 1\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 1`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### Definizione subordinata CACertificate \$1 1\$1 PathLen /V1 APIPassthrough
<a name="SubordinateCACertificate_PathLen1_APIPassthrough"></a>

Questo modello estende Subordinate CACertificate \$1 PathLen 0/V1 per supportare i valori passthrough delle API.


**CACertificatePathLenAPIPassthroughSubordinato \$1 1\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 1`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### Definizione subordinata CACertificate \$1 1\$1 PathLen /V1 CSRPassthrough
<a name="SubordinateCACertificate_PathLen1_CSRPassthrough-V1"></a>

Questo modello è identico al `SubordinateCACertificate_PathLen1` modello con una differenza: in questo modello, CA privata AWS passa le estensioni aggiuntive dalla richiesta di firma del certificato (CSR) al certificato se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nella CSR.

**Nota**  
Una CSR che contenga estensioni aggiuntive personalizzate deve essere creata all'esterno di. CA privata AWS


**Subordinato CACertificate \$1 1\$1 PathLen /V1 CSRPassthrough**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 1`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nei certificati emessi con questo modello solo se la CA è configurata con la generazione CRL abilitata.

### Definizione subordinata \$1 2/V1 CACertificate PathLen
<a name="SubordinateCACertificate_PathLen2-V1"></a>

Questo modello viene utilizzato per emettere certificati emessi da una CA subordinata con una lunghezza di percorso pari a 2. I certificati CA includono un'estensione fondamentale dei vincoli di base con il campo CA impostato su `TRUE` per indicare che il certificato può essere utilizzato per emettere certificati CA. L'utilizzo esteso della chiave non è incluso, il che impedisce l'utilizzo del certificato emesso da una CA come certificato client o server TLS.

Per ulteriori informazioni sui percorsi di certificazione, consulta [Impostazione dei vincoli di lunghezza nel percorso di certificazione](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Subordinato \$1 2/V1 CACertificate PathLen**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 2`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1I punti di distribuzione CRL sono inclusi nei certificati emessi con questo modello solo se la CA è configurata con la generazione CRL abilitata.

### Definizione subordinata CACertificate \$1 PathLen APICSRPassthrough 2\$1 /V1
<a name="SubordinateCACertificate_PathLen2_APICSRPassthrough"></a>

Questo modello estende Subordinate CACertificate \$1 PathLen 2/V1 per supportare i valori passthrough API e CSR.


**CACertificatePathLenAPICSRPassthroughSubordinato \$1 2\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 2`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### Definizione subordinata CACertificate \$1 2\$1 PathLen /V1 APIPassthrough
<a name="SubordinateCACertificate_PathLen2_APIPassthrough"></a>

Questo modello estende Subordinate CACertificate \$1 PathLen 2/V1 per supportare i valori passthrough delle API.


**Subordinato \$1 2\$1 /V1 CACertificate PathLen APIPassthrough**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 2`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### Definizione subordinata CACertificate \$1 2\$1 PathLen /V1 CSRPassthrough
<a name="SubordinateCACertificate_PathLen2_CSRPassthrough-V1"></a>

Questo modello è identico al `SubordinateCACertificate_PathLen2` modello con una differenza: in questo modello, CA privata AWS passa le estensioni aggiuntive dalla richiesta di firma del certificato (CSR) al certificato se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nella CSR.

**Nota**  
Una CSR che contenga estensioni aggiuntive personalizzate deve essere creata all'esterno di. CA privata AWS


**Subordinato CACertificate \$1 2\$1 PathLen /V1 CSRPassthrough**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 2`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nei certificati emessi con questo modello solo se la CA è configurata con la generazione CRL abilitata.

### Definizione subordinata \$1 3/V1 CACertificate PathLen
<a name="SubordinateCACertificate_PathLen3-V1"></a>

Questo modello viene utilizzato per emettere certificati emessi da una CA subordinata con una lunghezza di percorso pari a 3. I certificati CA includono un'estensione fondamentale dei vincoli di base con il campo CA impostato su `TRUE` per indicare che il certificato può essere utilizzato per emettere certificati CA. L'utilizzo esteso della chiave non è incluso, il che impedisce l'utilizzo del certificato emesso da una CA come certificato client o server TLS.

Per ulteriori informazioni sui percorsi di certificazione, consulta [Impostazione dei vincoli di lunghezza nel percorso di certificazione](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Subordinato \$1 3/V1 CACertificate PathLen**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 3`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1I punti di distribuzione CRL sono inclusi nei certificati emessi con questo modello solo se la CA è configurata con la generazione CRL abilitata.

### Definizione subordinata CACertificate \$1 PathLen APICSRPassthrough 3\$1 /V1
<a name="SubordinateCACertificate_PathLen3_APICSRPassthrough"></a>

Questo modello estende Subordinate CACertificate \$1 PathLen 3/V1 per supportare i valori passthrough API e CSR.


**CACertificatePathLenAPICSRPassthroughSubordinato \$1 3\$1 /V1**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 3`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### Definizione subordinata CACertificate \$1 3\$1 PathLen /V1 APIPassthrough
<a name="SubordinateCACertificate_PathLen3_APIPassthrough"></a>

Questo modello estende Subordinate CACertificate \$1 PathLen 3/V1 per supportare i valori passthrough delle API.


**Subordinato \$1 3\$1 /V1 CACertificate PathLen APIPassthrough**  

|  Parametro X509v3  | Valore | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da API o CSR]  | 
|  Subject  |  [Passthrough da API o CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 3`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA]  | 

\$1 I punti di distribuzione CRL sono inclusi nel modello solo se la CA è configurata con la generazione CRL abilitata. 

### Definizione subordinata CACertificate \$1 3\$1 PathLen /V1 CSRPassthrough
<a name="SubordinateCACertificate_PathLen3_CSRPassthrough-V1"></a>

Questo modello è identico al `SubordinateCACertificate_PathLen3` modello con una differenza: in questo modello, CA privata AWS passa le estensioni aggiuntive dalla richiesta di firma del certificato (CSR) al certificato se le estensioni non sono specificate nel modello. Le estensioni specificate nel modello sostituiscono sempre le estensioni nella CSR.

**Nota**  
Una CSR che contenga estensioni aggiuntive personalizzate deve essere creata all'esterno di. CA privata AWS


**Subordinato CACertificate \$1 3\$1 PathLen /V1 CSRPassthrough**  

|  Parametro X509v3  |  Valore  | 
| --- | --- | 
|  Nome alternativo del soggetto  |  [Passthrough da CSR]  | 
|  Subject  |  [Passthrough da CSR]  | 
|  Vincoli di base  |  Critico, `CA:TRUE`, `pathlen: 3`  | 
|  Identificatore della chiave di autorità  |  [SKI di CA Certificate]  | 
|  Identificatore della chiave dell'oggetto  |  [Derivato da CSR]  | 
|  Utilizzo delle chiavi  |  Firma digitale critica`keyCertSign`, segno CRL  | 
|  Punti di distribuzione CRL\$1  |  [Passthrough dalla configurazione CA o CSR]  | 

\$1I punti di distribuzione CRL sono inclusi nei certificati emessi con questo modello solo se la CA è configurata con la generazione CRL abilitata.