翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# での証明書の発行と管理 AWS Private CA
プライベート認証機関 (CA) を作成してアクティブ化し、アクセスを設定したら、ユーザーまたは承認されたユーザーが証明書を発行および管理できます。CA の AWS Identity and Access Management (IAM) ポリシーをまだ設定していない場合は、このガイドの [Identity and Access Management](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html) セクションで設定の詳細を確認できます。シングルアカウントシナリオとクロスアカウントシナリオでの CA アクセスの設定については、「[プライベート CA へのアクセスを制御する](granting-ca-access.md)」を参照してください。
**Topics**
+ [プライベートエンドエンティティ証明書を発行する](PcaIssueCert.md)
+ [プライベート証明書を取得する](PcaGetCert.md)
+ [プライベート証明書を一覧表示する](PcaListCerts.md)
+ [プライベート証明書とそのシークレットキーをエクスポートする](export-in-acm.md)
+ [プライベート証明書を取り消す](PcaRevokeCert.md)
+ [更新した証明書のエクスポートを自動化する](auto-export.md)
+ [AWS Private CA 証明書テンプレートを使用する](UsingTemplates.md)
# プライベートエンドエンティティ証明書を発行する
プライベート CA を設定すると、 AWS Certificate Manager (ACM) または からプライベートエンドエンティティ証明書をリクエストできます AWS Private CA。次の表では、この 2 つのサービスの機能を比較します。
****
| 機能 | ACM | AWS Private CA |
| --- | --- | --- |
| エンドエンティティ証明書を発行する | ✓ ([RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) または コンソールを使用) | ✓ ([IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) を使用) |
| ロードバランサーおよびインターネット向け AWS サービスとの関連付け | ✓ | サポートされていません |
| マネージド証明書の更新 | ✓ | ACM により、間接的に[サポートされています](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) |
| コンソールのサポート | ✓ | サポートされていません |
| API サポート | ✓ | ✓ |
| CLI サポート | ✓ | ✓ |
が証明書 AWS Private CA を作成すると、証明書のタイプとパスの長さを指定するテンプレートに従います。証明書を作成する API または CLI ステートメントにテンプレート ARN が指定されていない場合、デフォルトで [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) テンプレートが適用されます。使用可能な証明書テンプレートの詳細については、「[AWS Private CA 証明書テンプレートを使用する](UsingTemplates.md)」を参照してください。
ACM 証明書はパブリック信頼を中心に設計されていますが、 AWS Private CA はプライベート PKI のニーズに対応します。そのため、ACM で許可されていない方法で AWS Private CA API と CLI を使用して証明書を設定できます。これには以下が含まれます。
+ 任意の件名を持つ証明書の作成。
+ [サポートされている任意のプライベートキーアルゴリズムとキー長](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html) を使用する。
+ [サポートされている署名アルゴリズム](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html) のいずれかを使用する。
+ プライベート [CA](PcaCreateCa.html) とプライベート[証明書](PcaIssueCert.html)の有効期間の指定。
を使用してプライベート TLS 証明書を作成したら AWS Private CA、それを ACM に[インポート](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html)して、サポートされている AWS サービスで使用できます。
**注記**
以下の手順で、**issue-certificate** コマンド、または [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API アクションで作成された証明書は、直接エクスポートして AWSの外部で使用することはできません。ただし、プライベート CA を使用して ACM を通じて発行された証明書に署名することができ、それらの証明書はシークレットキーとともにエクスポートできます。詳細については、「ACM ユーザーガイド」の「[プライベート証明書のリクエスト](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html)」と「[プライベート証明書のエクスポート](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)」を参照してください。
## 標準証明書を発行する (AWS CLI)
AWS Private CA CLI コマンド [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) または API アクション [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) を使用して、エンドエンティティ証明書をリクエストできます。このコマンドでは、証明書の発行に使用するプライベート CA の Amazon リソースネーム (ARN) が必要です。また、[OpenSSL](https://www.openssl.org/) などのプログラムを使用して、証明書署名リクエスト (CSR) を生成する必要があります。
AWS Private CA API または を使用してプライベート証明書 AWS CLI を発行する場合、証明書はアンマネージド型です。つまり、ACM コンソール、ACM CLI、または ACM API を使用してプライベート証明書を表示またはエクスポートすることはできず、証明書は自動的に更新されません。ただし、PCA の [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) コマンドを使用して証明書の詳細を取得することができます。CA を所有している場合は [監査レポート](PcaAuditReport.md) を作成できます。
**証明書を作成する際の考慮事項**
+ [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) に準拠している場合、ドメイン名 (技術的には Common Name) の長さは、ピリオドを含む 64 オクテット (文字) を超えることはできません。より長いドメイン名を追加するには、[サブジェクト代替名] フィールドにドメイン名を指定します。このフィールドでは、最大 253 オクテットの名前がサポートされます。
+ AWS CLI バージョン 1.6.3 以降を使用している場合は、CSRs などの base64 エンコードされた入力ファイルを指定する`fileb://`ときに プレフィックスを使用します。これにより、 AWS Private CA はデータを正しく解析します。
次の OpenSSL コマンドは、証明書の CSR とプライベートキーを生成します。
```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```
CSR の内容は次のように検査できます。
```
$ openssl req -in csr.pem -text -noout
```
結果の出力は、次の省略された例のようになります。
```
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Big Org, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
...
aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
d3:63
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha256WithRSAEncryption
74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
....
3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
0b:53:e5:22
```
次のコマンドは、証明書を作成します。テンプレートが指定されていないため、ベースエンドエンティティ証明書がデフォルトで発行されます。
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--csr fileb://csr.pem \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=365,Type="DAYS"
```
発行された証明書の ARN が返されます。
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
**注記**
AWS Private CA **issue-certificate** コマンドを受信すると、 はすぐにシリアル番号の ARN を返します。ただし、証明書の処理は非同期で行われるため、失敗する可能性があります。この場合、新しい ARN を使用する **get-certificate** コマンドも失敗します。
## APIPassthrough テンプレートを使用して、カスタムサブジェクト名で証明書を発行します。
この例では、カスタマイズされたサブジェクト名要素を含む証明書が発行されます。[標準証明書を発行する (AWS CLI)](#IssueCertCli) にあるような CSR の指定に加えて、**issue-certificate** コマンドには、APIPassthrough テンプレートの ARN と、カスタム属性とそのオブジェクト識別子 (OID) を指定する JSON 設定ファイルの 2 つの引数を追加で渡します。`StandardAttributes` と `CustomAttributes` を組み合わせて使用することはできませんが、標準 OID を `CustomAttributes` の一部として渡すことはできます。デフォルトのサブジェクト名 OID を以下の表に示します ([RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) および [グローバル OID リファレンスデータベース](https://oidref.com) からの情報)。
| サブジェクト名 | 略語 | オブジェクト ID |
| --- | --- | --- |
| countryName | c | 2.5.4.6 |
| commonName | cn | 2.5.4.3 |
| dnQualifier [識別名修飾子] | | 2.5.4.46 |
| generationQualifier | | 2.5.4.44 |
| givenName | | 2.5.4.42 |
| initials | | 2.5.4.43 |
| locality | I | 2.5.4.7 |
| organizationName | o | 2.5.4.10 |
| organizationalUnitName | ou | 2.5.4.11 |
| pseudonym | | 2.5.4.65 |
| serialNumber | | 2.5.4.5 |
| st [状態] | | 2.5.4.8 |
| surname | sn | 2.5.4.4 |
| title | | 2.5.4.12 |
| domainComponent | dc | 0.9.2342.19200300.100.1.25 |
| userid | | 0.9.2342.19200300.100.1.1 |
サンプル設定ファイル `api_passthrough_config.txt` には以下のコードが含まれています。
```
{
"Subject": {
"CustomAttributes": [
{
"ObjectIdentifier": "2.5.4.6",
"Value": "US"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
"Value": "BCDABCDA12341234"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
"Value": "CDABCDAB12341234"
}
]
}
}
```
次のコマンドを使用して、証明書を発行します。
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
発行された証明書の ARN が返されます。
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
以下のように証明書をローカルで取得します。
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
OpenSSL を使用して、証明書の内容を検査できます。
```
$ openssl x509 -in cert.pem -text -noout
```
**注記**
発行する各証明書にカスタム属性を渡すプライベート CA を作成することもできます。
## APIPassthrough テンプレートを使用して、カスタム拡張付きの証明書を発行します。
この例では、カスタマイズされた拡張を含む証明書が発行されます。そのためには、APIPassthrough テンプレートの ARN、カスタム拡張を指定する JSON 設定ファイル、および [標準証明書を発行する (AWS CLI)](#IssueCertCli) に示されたような CSR の 3 つの引数を **issue-certificate** コマンドに渡す必要があります。
サンプル設定ファイル `api_passthrough_config.txt` には以下のコードが含まれています。
```
{
"Extensions": {
"CustomExtensions": [
{
"ObjectIdentifier": "2.5.29.30",
"Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
"Critical": true
}
]
}
}
```
カスタマイズされた証明書は次のように発行されます。
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
発行された証明書の ARN が返されます。
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
以下のように証明書をローカルで取得します。
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
OpenSSL を使用して、証明書の内容を検査できます。
```
$ openssl x509 -in cert.pem -text -noout
```
# プライベート証明書を取得する
AWS Private CA API と を使用してプライベート証明書 AWS CLI を発行できます。その場合は、 AWS CLI または AWS Private CA API を使用してその証明書を取得できます。ACM を使用してプライベート CA を作成し、証明書をリクエストした場合、ACM を使用して証明書および暗号化されたプライベートキーをエクスポートできます。詳細については「[プライベート証明書のエクスポート](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)」を参照してください。
**エンドエンティティ証明書を取得するには**
[get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI コマンドを使用して、プライベートエンドエンティティ証明書を取得します。また、[GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html) API オペレーションを使用することもできます。出力は sed に似たパーサーである [jq](https://stedolan.github.io/jq/) でフォーマットすることをお勧めします。
**注記**
証明書を取り消す場合は、**get-certificate** コマンドを使用して 16 進数形式のシリアル番号を取得します。また、監査レポートを作成して 16 進数シリアル番号を取得することもできます。詳細については、「[プライベート CA で監査レポートを使用する](PcaAuditReport.md)」を参照してください。
```
$ aws acm-pca get-certificate \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
jq -r '.Certificate, .CertificateChain'
```
このコマンドは、以下の標準形式の証明書と証明書チェーンを出力します。
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
**CA 証明書を取得するには**
AWS Private CA API と を使用して AWS CLI 、プライベート CA の認証局 (CA) 証明書を取得できます。これには、[get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html) コマンドを実行します。また、[GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) オペレーションを呼び出すこともできます。出力は sed に似たパーサーである [jq](https://stedolan.github.io/jq/) でフォーマットすることをお勧めします。
```
$ aws acm-pca get-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
| jq -r '.Certificate'
```
このコマンドは CA 証明書を以下の標準形式で出力します。
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
# プライベート証明書を一覧表示する
プライベート証明書を一覧表示するには、監査レポートを生成し、S3 バケットから取得して、必要に応じてレポートの内容を解析します。 AWS Private CA 認証情報レポート作成の詳細については、「[プライベート CA で監査レポートを使用する](PcaAuditReport.md)」を参照してください。S3 バケットからオブジェクトを取得する方法については、「Amazon Simple Storage Service ユーザーガイド」の「[オブジェクトのダウンロード](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html)」を参照してください。
以下の例は、監査レポートを作成し、それを解析して有用なデータを見つける方法を示しています。結果は JSON 形式で、データは sed に似たパーサーである [jq](https://stedolan.github.io/jq/) を使用してフィルタリングされます。
**1. 監査報告書を作成する。**
次のコマンドは、指定した CA の監査レポートを生成します。
```
$ aws acm-pca create-certificate-authority-audit-report \
--region region \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON
```
成功すると、コマンドは新しい監査レポートの ID と場所を返します。
```
{
"AuditReportId":"audit_report_ID",
"S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```
**2. 監査レポートを取得してフォーマットします。**
このコマンドは、監査レポートを取得し、その内容を標準出力で表示し、結果をフィルタリングして 2020-12-01 以降に発行された証明書のみを表示します。
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json \
/dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```
返された項目は以下のようになります。
```
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**3. 監査レポートをローカルに保存します。**
複数のクエリを実行する場合は、監査レポートをローカルファイルに保存すると便利です。
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```
以前と同じフィルターで同じ出力が得られます。
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**4. 日付範囲内のクエリ**
次のように日付範囲内に発行された証明書をクエリできます。
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```
フィルタリングされた内容は標準出力に表示されます。
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**5. 指定したテンプレートに従って証明書を検索します。**
次のコマンドは、テンプレート ARN を使用してレポートコンテンツをフィルタリングします。
```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```
出力には、一致する証明書レコードが表示されます。
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```
**6. 失効した証明書をフィルタリングします。**
失効した証明書をすべて検索するには、次のコマンドを使用します。
```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```
失効した証明書は次のように表示されます。
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"revokedAt": "2021-05-27T18:57:32+0000",
"revocationReason": "UNSPECIFIED",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**7. 正規表現を使用してフィルタリングします。**
次のコマンドは、「leaf」という文字列を含むサブジェクト名を検索します。
```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```
一致する証明書レコードは次のように返されます。
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.roo2.leaf4",
"notBefore": "2020-11-16T18:17:10+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-16T19:17:12+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf5",
"notBefore": "2020-12-21T21:28:09+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-12-21T22:28:09+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
# プライベート証明書とそのシークレットキーをエクスポートする
AWS Private CA は、署名および発行されたプライベート証明書を直接エクスポートできません。ただし、 AWS Certificate Manager を使用して、暗号化されたシークレットキーとともにそのような証明書をエクスポートできます。そうすれば、証明書は完全に移植可能になり、プライベート PKI のどこにでもデプロイできます。詳細については、「 AWS Certificate Manager ユーザーガイド[」の「プライベート証明書のエクスポート](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)」を参照してください。
追加の利点として、 は、ACM コンソール、ACM API の`RequestCertificate`アクション、または の ACM セクションの **request-certificate** コマンドを使用して発行されたプライベート証明書のマネージド更新 AWS Certificate Manager を提供します AWS CLI。更新についての詳細は、「[プライベート PKI の証明書の更新](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html)」を参照してください。
# プライベート証明書を取り消す
revoke[-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI コマンドまたは [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) API アクション AWS Private CA を使用して証明書を取り消すことができます。たとえば、シークレットキーが漏洩したり、関連するドメインが無効になったりした場合、予定されている有効期限が切れる前に証明書を取り消す必要がある場合があります。失効を有効にするには、証明書を使用するクライアントが、安全なネットワーク接続を構築しようとするたびに失効状態を確認する方法が必要です。
AWS Private CA には、失効ステータスチェックをサポートする 2 つのフルマネージドメカニズムが用意されています。オンライン証明書ステータスプロトコル (OCSP) と証明書失効リスト (CRLs。OCSP では、クライアントは権限のある失効データベースをクエリして、リアルタイムでステータスを返します。CRL を使用すると、クライアントは証明書を、定期的にダウンロードおよび保存される失効した証明書のリストと照合します。クライアントは、失効した証明書の受け入れを拒否します。
OCSP と CRL はどちらも、証明書に埋め込まれた検証情報に依存します。このため、発行前に、発行元の CA がこれらのメカニズムのいずれかまたは両方をサポートするように設定する必要があります。によるマネージド失効の選択と実装の詳細については AWS Private CA、「」を参照してください[AWS Private CA 証明書失効方法を計画する](revocation-setup.md)。
取り消された証明書は常に AWS Private CA 監査レポートに記録されます。
**注記**
クロスアカウント発信者の場合、 アクセス`AWSRAMRevokeCertificateCertificateAuthority`許可を持つ共有が必要です。取り消しのアクセス許可は に含まれません`AWSRAMDefaultPermissionCertificateAuthority`。クロスアカウント発行者による失効を有効にするには、CA 管理者は同じ CA を指す 2 つの RAM 共有を作成する必要があります。
`AWSRAMRevokeCertificateCertificateAuthority` 権限による共有。
`AWSRAMDefaultPermissionCertificateAuthority` 権限による共有。
**証明書を取り消すには**
API アクションの [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) またはコマンドの [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) を使用して、プライベート PKI 証明書を取り消します。シリアル番号は 16 進形式である必要があります。[get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) コマンドを呼び出して、シリアル番号を取得できます。`revoke-certificate` コマンドはレスポンスを返しません。
```
$ aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-serial serial_number \
--revocation-reason "KEY_COMPROMISE"
```
## 失効した証明書と OCSP
証明書を取り消すと、OCSP レスポンスに新しいステータスが反映されるまでに最大 60 分かかることがあります。一般に、OCSP は失効情報の配信が速い傾向があります。これは、クライアントが数日間キャッシュすることがある CRL とは異なり、OCSP レスポンスは通常クライアントによってキャッシュされないためです。
## CRL で取り消された証明書
CRL は通常、証明書が取り消された約 30 分後に更新されます。何らかの理由で CRL 更新が失敗した場合、 は 15 分ごとにさらに試行 AWS Private CA します。
Amazon CloudWatch を使用すると、メトリクス `CRLGenerated` と `MisconfiguredCRLBucket` のアラームを作成できます。詳細については、「[サポートされる CloudWatch メトリクス](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html)」を参照してください。CRL の作成と設定の詳細については、「[の CRL を設定する AWS Private CA](crl-planning.md)」を参照してください。
以下の例には、証明書失効リスト (CRL) の取り消された証明書を示しています。
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
```
## 監査レポートの取り消された証明書
取り消した証明書を含むすべての証明書には、プライベート CA の監査レポートが含まれます。次の例では、1 つの発行証明書および 1 つの取り消した証明書の監査レポートを示しています。詳細については、「[プライベート CA で監査レポートを使用する](PcaAuditReport.md)」を参照してください。
```
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]
```
# 更新した証明書のエクスポートを自動化する
AWS Private CA を使用して CA を作成する場合、その CA を にインポート AWS Certificate Manager し、ACM に証明書の発行と更新を管理させることができます。更新中の証明書が[統合サービス](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)に関連付けられている場合、サービスは新しい証明書をシームレスに適用します。ただし、証明書が元々 PKI 環境の他の場所 (オンプレミスサーバーやアプライアンスなど) で使用するために[エクスポート](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)されたものである場合は、更新後に再度エクスポートする必要があります。
Amazon EventBridge と AWS Lambda を使用して ACM エクスポートプロセスを自動化するサンプルソリューションについては、「[更新された証明書のエクスポートの自動化](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export)」を参照してください。
# AWS Private CA 証明書テンプレートを使用する
AWS Private CA は設定テンプレートを使用して、CA 証明書とエンドエンティティ証明書の両方を発行します。PCA コンソールから CA 証明書を発行すると、適切なルート CA 証明書テンプレートまたは下位 CA 証明書テンプレートが自動的に適用されます。
CLI または API を使用して証明書を発行すると、`IssueCertificate` アクションのパラメーターとしてテンプレート ARN を指定できます。(ARN を指定しない場合、`EndEntityCertificate/V1` テンプレートがデフォルトで適用されます。) 詳細については、「[IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API」と「[issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) コマンドに関するドキュメント」を参照してください。
**注記**
AWS Certificate Manager プライベート CA へのクロスアカウント共有アクセス権を持つ (ACM) ユーザーは、CA によって署名されたマネージド証明書を発行できます。クロスアカウント発行者はリソースベースのポリシーによって制約され、以下のエンドエンティティ証明書テンプレートにのみアクセスできます。
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[SubordinateCACertificate\$1PathLen0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
詳細については、「[リソースベースのポリシー](pca-rbp.md)」を参照してください。
**Topics**
+ [AWS Private CA テンプレートの種類](template-varieties.md)
+ [AWS Private CA テンプレートオペレーションの順序](template-order-of-operations.md)
+ [AWS Private CA テンプレート定義](template-definitions.md)
# AWS Private CA テンプレートの種類
AWS Private CA は 4 種類のテンプレートをサポートしています。
+ **ベーステンプレート**
パススルーパラメータを使用できない定義済みテンプレート。
+ **CSRPassthrough テンプレート**
CSR パススルーを許可することで、対応するベーステンプレートバージョンを拡張するテンプレート。証明書の発行に使用される CSR 内の拡張は、発行された証明書にコピーされます。CSR にテンプレート定義と矛盾する拡張値が含まれている場合は、常にテンプレート定義が優先されます。優先度の詳細については、「[AWS Private CA テンプレートオペレーションの順序テンプレートの操作順序](template-order-of-operations.md)」を参照してください。
+ **APIPassthrough テンプレート**
CSR パススルーを許可することで、対応するベーステンプレートバージョンを拡張するテンプレート。管理者や他の中間システムに知られている動的値は、証明書を要求するエンティティには知られていない場合、テンプレートで定義できない場合、また CSR で使用できない場合があります。ただし、CA 管理者は Active Directory などの別のデータソースから追加情報を取得して、リクエストを完了することができます。たとえば、マシンがどの組織単位に属しているかわからない場合、管理者は Active Directory で情報を検索し、その情報を JSON 構造に含めることで証明書要求に追加できます。
`IssueCertificate` アクションの `` の `ApiPassthrough` パラメータの値は、発行された証明書にコピーされます。`ApiPassthrough` パラメータにテンプレート定義と矛盾する情報が含まれている場合は、常にテンプレート定義が優先されます。優先度の詳細については、「[AWS Private CA テンプレートオペレーションの順序テンプレートの操作順序](template-order-of-operations.md)」を参照してください。
+ **APICSRPassthrough テンプレート**
API と CSR の両方のパススルーを許可することで、対応するベーステンプレートバージョンを拡張するテンプレート。証明書の発行に使用された CSR の拡張は発行された証明書にコピーされ、`IssueCertificate` アクションの `ApiPassthrough` パラメータの値もコピーされます。テンプレート定義、API パススルー値、CSR パススルー拡張に矛盾がある場合は、テンプレート定義が最も優先され、続いて API パススルー値、CSR パススルー拡張の順に優先されます。優先度の詳細については、「[AWS Private CA テンプレートオペレーションの順序テンプレートの操作順序](template-order-of-operations.md)」を参照してください。
以下の表に、 でサポートされているすべてのテンプレートタイプ AWS Private CA とその定義へのリンクを示します。
**注記**
GovCloud リージョンのテンプレート ARNs[AWS Private Certificate Authority](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)*AWS GovCloud (US) 「 ユーザーガイド*」の「」を参照してください。
**ベーステンプレート**
| テンプレート名 | [テンプレート ARN] | 証明書タイプ |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | コード署名 |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | エンドエンティティ |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | エンドエンティティ |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | エンドエンティティ |
| [OCSPSigningCertificate/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | OCSP 署名 |
| [RootCACertificate/V1](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [SubordinateCACertificate\$1PathLen0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [SubordinateCACertificate\$1PathLen1/V1](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [SubordinateCACertificate\$1PathLen2/V1](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [SubordinateCACertificate\$1PathLen3/V1](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough テンプレート**
| テンプレート名 | [テンプレート ARN] | 証明書タイプ |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1CSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | エンドエンティティ |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | エンドエンティティ |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificate\$1CSRPassthrough/V1](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | コード署名 |
| [EndEntityCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | エンドエンティティ |
| [EndEntityClientAuthCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | エンドエンティティ |
| [EndEntityServerAuthCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | エンドエンティティ |
| [OCSPSigningCertificate\$1CSRPassthrough/V1](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | OCSP 署名 |
| [SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough テンプレート**
| テンプレート名 | [テンプレート ARN] | 証明書タイプ |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | エンドエンティティ |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | エンドエンティティ |
| [CodeSigningCertificate\$1APIPassthrough/V1](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | コード署名 |
| [EndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | エンドエンティティ |
| [EndEntityClientAuthCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | エンドエンティティ |
| [EndEntityServerAuthCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | エンドエンティティ |
| [OCSPSigningCertificate\$1APIPassthrough/V1](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | OCSP 署名 |
| [RootCACertificate\$1APIPassthrough/V1](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough テンプレート**
| テンプレート名 | [テンプレート ARN] | 証明書タイプ |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | エンドエンティティ |
| | | |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | エンドエンティティ |
| [CodeSigningCertificate\$1APICSRPassthrough/V1](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | コード署名 |
| [EndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | エンドエンティティ |
| [EndEntityClientAuthCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | エンドエンティティ |
| [EndEntityServerAuthCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | エンドエンティティ |
| [OCSPSigningCertificate\$1APICSRPassthrough/V1](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | OCSP 署名 |
| [SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/PathLen3\$1APIPassthroughV1](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS Private CA テンプレートオペレーションの順序
発行された証明書に含まれる情報は、テンプレート定義、API パススルー、CSR パススルー、CA 設定の 4 つのソースから取得できます。
API パススルー値は API パススルーまたは APICSR パススルーテンプレートを使用する場合にのみ考慮されます。CSR パススルーは、CSRPassthrough または APICSR パススルーテンプレートを使用する場合にのみ優先されます。これらの情報源に矛盾がある場合は、通常、拡張値ごとにテンプレート定義が最も優先され、次に API パススルー値、CSR パススルー拡張が続くという一般的なルールが適用されます。
**例**
1. [EndEntityClientAuthCertificate\$1APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) のテンプレート定義では、「TLS web server authentication, TLS web client authentication」という値を持つ ExtendedKeyUsage 拡張が定義されています。ExtendedKeyUsage が CSR または `IssueCertificate` `ApiPassthrough` パラメータで定義されている場合、テンプレート定義が優先されるため、ExtendedKeyUsage の `ApiPassthrough` 値は無視されます。また、ExtendedKeyUsage 値の CSR 値は、テンプレートが CSR パススルー型ではないため無視されます。
**注記**
それでも、テンプレート定義は CSR の他の値 (件名 や サブジェクトの代替名 など) を上書きします。テンプレートが CSR パススルー型ではない場合でも、テンプレート定義が常に最優先されるため、これらの値は CSR から取得されます。
1. [EndEntityClientAuthCertificate\$1APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) のテンプレート定義では、サブジェクト代替名 (SAN) 拡張が API または CSR からコピーされたものとして定義されています。SAN 拡張が CSR で定義され、`IssueCertificate` ` ApiPassthrough` パラメータで指定されている場合、API パススルー値は CSR パススルー値よりも優先されるため、API パススルー値が優先されます。
# AWS Private CA テンプレート定義
以下のセクションでは、サポートされている AWS Private CA 証明書テンプレートに関する設定の詳細について説明します。
## BlankEndEntityCertificate\$1APIPassthrough/V1 定義
エンドエンティティ証明書テンプレートが空白の場合、X.509 基本制約のみが存在するエンドエンティティ証明書を発行できます。これは発行 AWS Private CA できる最も単純なエンドエンティティ証明書ですが、 API 構造を使用してカスタマイズできます。基本制約拡張は、証明書が CA 証明書かどうかを定義します。エンドエンティティ証明書テンプレートを空白にすると、CA 証明書ではなくエンドエンティティ証明書が確実に発行されるように、基本制約の値が FALSE になります。
空のパススルーテンプレートを使用して、キー使用 (KU) と拡張キー使用 (EKU) に特定の値を必要とするスマートカード証明書を発行できます。たとえば、拡張キーの使用にはクライアント認証とスマートカードログオンが必要な場合があります。また、キーの使用にはデジタル署名、否認防止、および鍵の暗号化が必要な場合があります。他のパススルーテンプレートとは異なり、空白のエンドエンティティ証明書テンプレートでは、KU および EKU 拡張機能を設定できます。ここで、KU はサポートされている 9 つの値 (digitalSignature、nonRepudiation、keyEncipherment、dataEncipherment、keyAgreement、keyCertSign、cRLSign、encipherOnly、および decipherOnly) のいずれかにすることができ、EKU はサポートされている値 (serverAuth、clientAuth、codesigning、emailProtection、timetamping、および OCSPSigning) のいずれかにすることができます。
**BlankEndEntityCertificate\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | CA:FALSE |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
## BlankEndEntityCertificate\$1APICSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankEndEntityCertificate\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | CA:FALSE |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
## BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、CA:FALSE |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定、API、または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、CA:FALSE |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または API からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、CA:FALSE |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankEndEntityCertificate\$1CSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankEndEntityCertificate\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | CA:FALSE |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 0` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 0` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 0` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 1` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 1` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 1` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 2` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 2` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 2` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 3` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 3` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1 定義
空白テンプレートの全般的な情報については、「[BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)」を参照してください。
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 3` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### CodeSigningCertificate/V1 定義
このテンプレートは、コード署名用の証明書を作成するために使用されます。プライベート CA インフラストラクチャに基づく任意のコード署名ソリューション AWS Private CA で、 からのコード署名証明書を使用できます。例えば、Code Signing for を使用しているお客様は、 を使用してコード署名証明書を生成 AWS Private CA し、 にインポート AWS IoT できます AWS Certificate Manager。詳細については、[「コード署名とは AWS IoT](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html)」および[「コード署名証明書の取得とインポート](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html)」を参照してください。
**CodeSigningCertificate/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | `CA:FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名 |
| 拡張キーの用途 | 重要、コード署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### CodeSigningCertificate\$1APICSRPassthrough/V1 定義
このテンプレートは、CodeSigningCertificate/V1 を拡張して API と CSR のパススルー値をサポートします。
**CodeSigningCertificate\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | `CA:FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名 |
| 拡張キーの用途 | 重要、コード署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### CodeSigningCertificate\$1APIPassthrough/V1 定義
このテンプレートは`CodeSigningCertificate`テンプレートと同じですが、1 つの違いがあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は API を介して AWS Private CA 追加の拡張機能を証明書に渡します。テンプレートで指定された拡張は、常に API 内の拡張を上書きします。
**CodeSigningCertificate\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | `CA:FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名 |
| 拡張キーの用途 | 重要、コード署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### CodeSigningCertificate\$1CSRPassthrough/V1 定義
このテンプレートは`CodeSigningCertificate`テンプレートと同じですが、1 つの違いがあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は証明書署名リクエスト (CSR) から証明書に追加の拡張機能を AWS Private CA 渡します。テンプレートで指定された拡張機能は、常に CSR 内の拡張機能を上書きします。
**CodeSigningCertificate\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | `CA:FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名 |
| 拡張キーの用途 | 重要、コード署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityCertificate/V1 定義
このテンプレートは、オペレーティングシステムやウェブサーバーなどのエンドエンティティの証明書を作成するために使用されます。
**EndEntityCertificate/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブサーバー認証、TLS ウェブクライアント認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityCertificate\$1APICSRPassthrough/V1 定義
このテンプレートは、EndEntityCertificate/V1 を拡張して API と CSR のパススルー値をサポートします。
**EndEntityCertificate\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブサーバー認証、TLS ウェブクライアント認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### BlankEndEntityCertificate\$1APIPassthrough/V1 定義
このテンプレートは`EndEntityCertificate`テンプレートと同じですが、1 つの違いがあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は API を介して AWS Private CA 追加の拡張機能を証明書に渡します。テンプレートで指定された拡張は、常に API 内の拡張を上書きします。
**EndEntityCertificate\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブサーバー認証、TLS ウェブクライアント認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityCertificate\$1CSRPassthrough/V1 定義
このテンプレートは`EndEntityCertificate`テンプレートと同じですが、1 つの違いがあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は証明書署名リクエスト (CSR) から証明書に追加の拡張機能を AWS Private CA 渡します。テンプレートで指定された拡張機能は、常に CSR 内の拡張機能を上書きします。
**EndEntityCertificate\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブサーバー認証、TLS ウェブクライアント認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityClientAuthCertificate/V1 定義
このテンプレートは `EndEntityCertificate` とほぼ同じですが、唯一違う点は拡張キー使用値で、TLS ウェブクライアント認証に制限されます。
**EndEntityClientAuthCertificate/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブクライアント認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityClientAuthCertificate\$1APICSRPassthrough/V1 定義
このテンプレートは、EndEntityClientAuthCertificate/V1 を拡張して API と CSR のパススルー値をサポートします。
**EndEntityClientAuthCertificate\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブクライアント認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityClientAuthCertificate\$1APIPassthrough/V1 定義
このテンプレートは `EndEntityClientAuthCertificate` テンプレートと同じですが、 違いが 1 つあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は API を介して AWS Private CA 追加の拡張機能を証明書に渡します。テンプレートで指定された拡張は、常に API 内の拡張を上書きします。
**EndEntityClientAuthCertificate\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブクライアント認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityClientAuthCertificate\$1CSRPassthrough/V1 定義
このテンプレートは `EndEntityClientAuthCertificate` テンプレートと同じですが、 違いが 1 つあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は証明書署名リクエスト (CSR) から証明書に追加の拡張機能を AWS Private CA 渡します。テンプレートで指定された拡張機能は、常に CSR 内の拡張機能を上書きします。
**EndEntityClientAuthCertificate\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブクライアント認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityServerAuthCertificate/V1 定義
このテンプレートは `EndEntityCertificate` とほぼ同じですが、唯一違う点は拡張キー使用法の値で、TLS ウェブサーバー認証に制限されます。
**EndEntityServerAuthCertificate/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブサーバー認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 定義
このテンプレートは EndEntityServerAuthCertificate/V1 を拡張して API と CSR のパススルー値をサポートします。
**EndEntityServerAuthCertificate\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブサーバー認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityServerAuthCertificate\$1APIPassthrough/V1 定義
このテンプレートは `EndEntityServerAuthCertificate` テンプレートと同じですが、 違いが 1 つあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は API を介して AWS Private CA 追加の拡張機能を証明書に渡します。テンプレートで指定された拡張は、常に API 内の拡張を上書きします。
**EndEntityServerAuthCertificate\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブサーバー認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### EndEntityServerAuthCertificate\$1CSRPassthrough/V1 定義
このテンプレートは `EndEntityServerAuthCertificate` テンプレートと同じですが、 違いが 1 つあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は証明書署名リクエスト (CSR) から証明書に追加の拡張機能を AWS Private CA 渡します。テンプレートで指定された拡張機能は、常に CSR 内の拡張機能を上書きします。
**EndEntityServerAuthCertificate\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | CA:`FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、キー暗号化 |
| 拡張キーの用途 | TLS ウェブサーバー認証 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### OCSPSigningCertificate/V1 定義
このテンプレートは、OCSP 応答に署名するための証明書を作成するために使用されます。テンプレートは `CodeSigningCertificate` テンプレートと同じですが、拡張キー使用法の値がコード署名ではなく OCSP 署名を指定している点が異なります。
**OCSPSigningCertificate/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | `CA:FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名 |
| 拡張キーの用途 | 重要、OCSP 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### OCSPSigningCertificate\$1APICSRPassthrough/V1 定義
このテンプレートは、OCSPSigningCertificate/V1 を拡張して API と CSR パススルー値をサポートします。
**OCSPSigningCertificate\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | `CA:FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名 |
| 拡張キーの用途 | 重要、OCSP 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### OCSPSigningCertificate\$1APIPassthrough/V1 定義
このテンプレートは `OCSPSigningCertificate` テンプレートと同じですが、 違いが 1 つあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は API を介して AWS Private CA 追加の拡張機能を証明書に渡します。テンプレートで指定された拡張は、常に API 内の拡張を上書きします。
**OCSPSigningCertificate\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | `CA:FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名 |
| 拡張キーの用途 | 重要、OCSP 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### OCSPSigningCertificate\$1CSRPassthrough/V1 定義
このテンプレートは `OCSPSigningCertificate` テンプレートと同じですが、 違いが 1 つあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は証明書署名リクエスト (CSR) から証明書に追加の拡張機能を AWS Private CA 渡します。テンプレートで指定された拡張機能は、常に CSR 内の拡張機能を上書きします。
**OCSPSigningCertificate\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | `CA:FALSE` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名 |
| 拡張キーの用途 | 重要、OCSP 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### RootCACertificate/V1 定義
このテンプレートは、自己署名ルート CA 認定を交付するために使用されます。CA 認定には、証明書が CA 認定の交付に使用できることを指定するために、[CA] フィールドが `TRUE` に設定された、重要な基本制約拡張機能が含まれています。テンプレートではパスの長さ ([pathLenConstraint](PcaTerms.md#terms-pathlength)) を指定していません。これは、以降の階層の拡張を妨げる可能性があるためです。CA 認定を TLS クライアントまたはサーバー証明書として使用できないようにするため、拡張キーの使用は除外されます。自己署名証明書を取り消すことができないため、CRL 情報は指定されません。
**RootCACertificate/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE` |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、keyCertSign、CRL 署名 |
| CRL ディストリビューションポイント | 該当なし |
### RootCACertificate\$1APIPassthrough/V1 定義
このテンプレートは RootCACertificate/V1 を拡張して API パススルー値をサポートします。
**RootCACertificate\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE` |
| 権限キー識別子 | [API からのパススルー] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、keyCertSign、CRL 署名 |
| CRL ディストリビューションポイント \$1 | 該当なし |
### BlankRootCACertificate\$1APIPassthrough/V1 定義
空のルート証明書テンプレートを使用すると、X.509 の基本制約のみを使用してルート証明書を発行できます。これは発行 AWS Private CA できる最も単純なルート証明書ですが、 API 構造を使用してカスタマイズできます。基本的な制約拡張は、証明書が CA 証明書であるかどうかを定義します。空のルート証明書テンプレートは、ルート CA 証明書が発行されるように基本的な制約`TRUE`に の値を適用します。
空のパススルールートテンプレートを使用して、キー使用 (KU) に特定の値を必要とするルート証明書を発行できます。たとえば、キーの使用には `keyCertSign`と が必要な場合がありますが`cRLSign`、 は必要ない場合があります`digitalSignature`。空白以外のルートパススルー証明書テンプレートとは異なり、空白のルート証明書テンプレートは KU 拡張機能の設定を許可します。ここで、KU はサポートされている 9 つの値 (`digitalSignature`、、`nonRepudiation`、`keyEncipherment``dataEncipherment`、、、`keyAgreement``keyCertSign``cRLSign``encipherOnly`、、、) のいずれかになります`decipherOnly`。
**BlankRootCACertificate\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE` |
| サブジェクトキー識別子 | [CSR から取得] |
### BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1 定義
空のルート CA テンプレートの一般的な情報については、「」を参照してください[BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 0` |
| サブジェクトキー識別子 | [CSR から取得] |
### BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1 定義
空のルート CA テンプレートの一般的な情報については、「」を参照してください[BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 1` |
| サブジェクトキー識別子 | [CSR から取得] |
### BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1 定義
空のルート CA テンプレートの一般的な情報については、「」を参照してください[BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 2` |
| サブジェクトキー識別子 | [CSR から取得] |
### BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1 定義
空のルート CA テンプレートの一般的な情報については、「」を参照してください[BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 3` |
| サブジェクトキー識別子 | [CSR から取得] |
### SubordinateCACertificate\$1PathLen0/V1 定義
このテンプレートは、パス長が の下位 CA 証明書を発行するために使用されます`0`。CA 認定には、証明書が CA 認定の交付に使用できることを指定するために、[CA] フィールドが `TRUE` に設定された、重要な基本制約拡張機能が含まれています。拡張キーの使用法が含まれていないため、CA 認定が TLS クライアントまたはサーバー証明書として使用されなくなります。
証明パスの詳細については、「[証明パスに長さの制約を設定する](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)」を参照してください。
**SubordinateCACertificate\$1PathLen0/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 0` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1CRL ディストリビューションポイントは、CA が CRL 生成が有効になっている場合にのみ、このテンプレートで発行された証明書に含まれます。
### SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1 定義
このテンプレートは、SubordinateCACertificate\$1PathLen0/V1 を拡張して API と CSR のパススルー値をサポートします。
**SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 0` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1 定義
このテンプレートは、SubordinateCACertificate\$1PathLen0/V1 を拡張して API パススルー値をサポートします。
**SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 0` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1 定義
このテンプレートは`SubordinateCACertificate_PathLen0`テンプレートと同じですが、1 つの違いがあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は証明書署名リクエスト (CSR) から証明書に追加の拡張機能を AWS Private CA 渡します。テンプレートで指定された拡張機能は、常に CSR 内の拡張機能を上書きします。
**注記**
カスタムの追加拡張を含む CSR は、 AWS Private CAの外部で作成する必要があります。
**SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 0` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA が CRL 生成を有効にして構成されている場合にのみ、このテンプレートで発行された証明書に含まれます。
### SubordinateCACertificate\$1PathLen1/V1 定義
このテンプレートは、パス長が の下位 CA 証明書を発行するために使用されます`1`。CA 認定には、証明書が CA 認定の交付に使用できることを指定するために、[CA] フィールドが `TRUE` に設定された、重要な基本制約拡張機能が含まれています。拡張キーの使用法が含まれていないため、CA 認定が TLS クライアントまたはサーバー証明書として使用されなくなります。
証明パスの詳細については、「[証明パスに長さの制約を設定する](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)」を参照してください。
**SubordinateCACertificate\$1PathLen1/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 1` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1CRL ディストリビューションポイントは、CA が CRL 生成を有効にして構成されている場合にのみ、このテンプレートで発行された証明書に含まれます。
### SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1 定義
このテンプレートは、SubordinateCACertificate\$1PathLen1/V1 を拡張して API と CSR のパススルー値をサポートします。
**SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 1` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1 定義
このテンプレートは、SubordinateCACertificate\$1PathLen0/V1 を拡張して API パススルー値をサポートします。
**SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 1` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1 定義
このテンプレートは`SubordinateCACertificate_PathLen1`テンプレートと同じですが、1 つの違いがあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は証明書署名リクエスト (CSR) から証明書に追加の拡張機能を AWS Private CA 渡します。テンプレートで指定された拡張機能は、常に CSR 内の拡張機能を上書きします。
**注記**
カスタムの追加拡張を含む CSR は、 AWS Private CAの外部で作成する必要があります。
**SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 1` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA が CRL 生成を有効にして構成されている場合にのみ、このテンプレートで発行された証明書に含まれます。
### SubordinateCACertificate\$1PathLen2/V1 定義
このテンプレートは、パスの長さが 2 の下位 CA 認定を交付するために使用されます。CA 認定には、証明書が CA 認定の交付に使用できることを指定するために、[CA] フィールドが `TRUE` に設定された、重要な基本制約拡張機能が含まれています。拡張キーの使用法が含まれていないため、CA 認定が TLS クライアントまたはサーバー証明書として使用されなくなります。
証明パスの詳細については、「[証明パスに長さの制約を設定する](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)」を参照してください。
**SubordinateCACertificate\$1PathLen2/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 2` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1CRL ディストリビューションポイントは、CA が CRL 生成を有効にして構成されている場合にのみ、このテンプレートで発行された証明書に含まれます。
### SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1 定義
このテンプレートは、SubordinateCACertificate\$1PathLen2/V1 を拡張して API と CSR のパススルー値をサポートします。
**SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 2` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1 定義
このテンプレートは、SubordinateCACertificate\$1PathLen2/V1 を拡張して API パススルー値をサポートします。
**SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 2` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1 定義
このテンプレートは`SubordinateCACertificate_PathLen2`テンプレートと同じですが、1 つの違いがあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は証明書署名リクエスト (CSR) から証明書に追加の拡張機能を AWS Private CA 渡します。テンプレートで指定された拡張機能は、常に CSR 内の拡張機能を上書きします。
**注記**
カスタムの追加拡張を含む CSR は、 AWS Private CAの外部で作成する必要があります。
**SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 2` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA が CRL 生成を有効にして構成されている場合にのみ、このテンプレートで発行された証明書に含まれます。
### SubordinateCACertificate\$1PathLen3/V1 定義
このテンプレートは、パスの長さが 3 の下位 CA 認定を交付するために使用されます。CA 認定には、証明書が CA 認定の交付に使用できることを指定するために、[CA] フィールドが `TRUE` に設定された、重要な基本制約拡張機能が含まれています。拡張キーの使用法が含まれていないため、CA 認定が TLS クライアントまたはサーバー証明書として使用されなくなります。
証明パスの詳細については、「[証明パスに長さの制約を設定する](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)」を参照してください。
**SubordinateCACertificate\$1PathLen3/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 3` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1CRL ディストリビューションポイントは、CA が CRL 生成を有効にして構成されている場合にのみ、このテンプレートで発行された証明書に含まれます。
### SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1 定義
このテンプレートは、SubordinateCACertificate\$1PathLen3/V1 を拡張して API と CSR のパススルー値をサポートします。
**SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 3` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1 定義
このテンプレートは、SubordinateCACertificate\$1PathLen3/V1 を拡張して API パススルー値をサポートします。
**SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [API または CSR からのパススルー] |
| 件名 | [API または CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 3` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定からのパススルー] |
\$1 CRL ディストリビューションポイントは、CA で CRL 生成が有効に設定されている場合にのみテンプレートに含まれます。
### SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1 定義
このテンプレートは`SubordinateCACertificate_PathLen3`テンプレートと同じですが、1 つの違いがあります。このテンプレートでは、拡張機能がテンプレートで指定されていない場合、 は証明書署名リクエスト (CSR) から証明書に追加の拡張機能を AWS Private CA 渡します。テンプレートで指定された拡張機能は、常に CSR 内の拡張機能を上書きします。
**注記**
カスタムの追加拡張を含む CSR は、 AWS Private CAの外部で作成する必要があります。
**SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 パラメータ | 値 |
| --- | --- |
| サブジェクトの代替名 | [CSR からのパススルー] |
| 件名 | [CSR からのパススルー] |
| 基本制約 | 重要、`CA:TRUE`、`pathlen: 3` |
| 権限キー識別子 | [CA 証明書による SKI] |
| サブジェクトキー識別子 | [CSR から取得] |
| キーの用途 | 重要、デジタル署名、`keyCertSign`、CRL 署名 |
| CRL ディストリビューションポイント \$1 | [CA 設定または CSR からのパススルー] |
\$1CRL ディストリビューションポイントは、CA が CRL 生成を有効にして構成されている場合にのみ、このテンプレートで発行された証明書に含まれます。