기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에서 인증서 발급 및 관리 AWS Private CA
프라이빗 인증 기관(CA)을 생성 및 활성화하고 이에 대한 액세스를 구성한 후 사용자 또는 권한 있는 사용자가 인증서를 발급하고 관리할 수 있습니다. CA에 대한 AWS Identity and Access Management (IAM) 정책을 아직 설정하지 않은 경우이 가이드의 [Identity and Access Management](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html) 섹션에서 정책을 구성하는 방법에 대해 자세히 알아볼 수 있습니다. 단일 계정 및 교차 계정 시나리오에서 CA 액세스를 구성하는 방법에 대한 자세한 내용은 [프라이빗 CA에 대한 액세스 제어](granting-ca-access.md) 섹션을 참조하세요.
**Topics**
+ [프라이빗 최종 엔터티 인증서 발급](PcaIssueCert.md)
+ [프라이빗 인증서 검색](PcaGetCert.md)
+ [프라이빗 인증서 나열](PcaListCerts.md)
+ [프라이빗 인증서 및 해당 보안 키 내보내기](export-in-acm.md)
+ [프라이빗 인증서 취소](PcaRevokeCert.md)
+ [갱신된 인증서 내보내기 자동화](auto-export.md)
+ [AWS Private CA 인증서 템플릿 사용](UsingTemplates.md)
# 프라이빗 최종 엔터티 인증서 발급
프라이빗 CA를 사용하면 AWS Certificate Manager (ACM) 또는에서 프라이빗 최종 엔터티 인증서를 요청할 수 있습니다 AWS Private CA. 두 가지 서비스의 기능은 다음 표에서 비교가 되어 있습니다.
****
| 기능 | ACM | AWS Private CA |
| --- | --- | --- |
| 최종 엔터티 인증서 발급 | ✓ ([RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) 또는 콘솔 사용) | ✓ ( [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) 사용) |
| 로드 밸런서 및 인터넷 연결 AWS 서비스와의 연결 | ✓ | 지원되지 않음 |
| 관리형 인증서 갱신 | ✓ | ACM을 통해 간접적으로 [지원됩니다](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html). |
| 콘솔 지원 | ✓ | 지원되지 않음 |
| API 지원 | ✓ | ✓ |
| CLI 지원 | ✓ | ✓ |
는 인증서를 AWS Private CA 생성할 때 인증서 유형과 경로 길이를 지정하는 템플릿을 따릅니다. 인증서를 생성하는 API 또는 CLI 문에 템플릿 ARN이 제공되지 않으면 [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) 템플릿이 기본적으로 적용됩니다. 사용 가능한 인증서 템플릿에 대한 자세한 내용은 [AWS Private CA 인증서 템플릿 사용](UsingTemplates.md) 단원을 참조하십시오 .
ACM 인증서는 퍼블릭 신뢰를 중심으로 설계되었지만는 프라이빗 PKI의 요구 사항을 AWS Private CA 충족합니다. 따라서 ACM에서 허용하지 않는 방식으로 AWS Private CA API 및 CLI를 사용하여 인증서를 구성할 수 있습니다. 여기에는 다음이 포함됩니다.
+ 보안 주체 이름으로 인증서를 생성합니다.
+ [지원되는 프라이빗 키 알고리즘 및 키 길이](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html) 사용
+ [지원되는 서명 알고리즘](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html) 사용.
+ 프라이빗 [CA](PcaCreateCa.html) 및 프라이빗 [인증서](PcaIssueCert.html)의 유효 기간 지정
를 사용하여 프라이빗 TLS 인증서를 생성한 후 ACM으로 [가져](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html)와 지원되는 AWS 서비스와 함께 사용할 AWS Private CA수 있습니다.
**참고**
아래 절차, **issue-certificate** 명령 사용 또는 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API 작업을 사용하여 만든 인증서는 AWS외부에서 사용하기 위해 직접 내보낼 수 없습니다. 하지만 프라이빗 CA를 사용하여 ACM을 통해 발급된 인증서에 서명할 수 있으며, 이러한 인증서를 해당 비밀 키와 함께 내보낼 수 있습니다. 자세한 내용은 *ACM 사용 설명서*의 [프라이빗 인증서 요청](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) 및 [프라이빗 인증서 내보내기](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)를 참조하세요.
## 표준 인증서 발급(AWS CLI)
AWS Private CA CLI 명령 [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) 또는 API 작업 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)를 사용하여 최종 엔터티 인증서를 요청할 수 있습니다. 이 명령을 사용하려면 인증서를 발급하는 데 사용할 프라이빗 CA의 Amazon 리소스 이름(ARN)이 필요합니다. 또한 [OpenSSL](https://www.openssl.org/)과 같은 프로그램을 사용하여 인증서 서명 요청(CSR)을 생성해야 합니다.
AWS Private CA API 또는를 사용하여 프라이빗 인증서를 AWS CLI 발급하는 경우 인증서는 관리되지 않습니다. 즉, ACM 콘솔, ACM CLI 또는 ACM API를 사용하여 인증서를 보거나 내보낼 수 없으며 인증서가 자동으로 갱신되지 않습니다. 하지만 PCA [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) 명령을 사용하여 인증서 세부 정보를 검색할 수 있으며 CA를 소유한 경우 [감사 보고서](PcaAuditReport.md)를 생성할 수 있습니다.
**인증서 생성 시 고려 사항**
+ [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280)에 따라, 제공하는 도메인 이름(일반 이름)의 길이는 마침표를 포함하여 64 옥텟(자)을 초과할 수 없습니다. 더 긴 도메인 이름을 추가하려면 최대 253옥텟 길이의 이름을 지원하는 보안 주체 대체 이름 필드에 해당 이름을 지정하십시오.
+ AWS CLI 버전 1.6.3 이상을 사용하는 경우 CSRs과 같은 base64 인코딩 입력 파일을 지정할 `fileb://` 때 접두사를 사용합니다. 이렇게 AWS Private CA 하면가 데이터를 올바르게 구문 분석할 수 있습니다.
다음 OpenSSL 명령은 인증서에 대한 CSR 및 개인 키를 생성합니다.
```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```
다음과 같이 CSR의 콘텐츠를 검사할 수 있습니다.
```
$ openssl req -in csr.pem -text -noout
```
결과 출력은 다음과 같은 축약된 예제와 비슷해야 합니다.
```
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Big Org, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
...
aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
d3:63
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha256WithRSAEncryption
74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
....
3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
0b:53:e5:22
```
다음 명령은 인증서를 생성합니다. 템플릿이 지정되지 않았으므로 기본적으로 기본 최종 엔터티 인증서가 발급됩니다.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--csr fileb://csr.pem \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=365,Type="DAYS"
```
발급된 인증서의 ARN이 반환됩니다.
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
**참고**
AWS Private CA 는 **issue-certificate** 명령을 수신할 때 일련 번호가 있는 ARN을 즉시 반환합니다. 하지만 인증서 처리는 비동기적으로 이루어지므로 여전히 실패할 수 있습니다. 이 경우 새 ARN을 사용하는 **get-certificate** 명령도 실패합니다.
## APIPassThrough 템플릿을 사용하여 사용자 지정 보안 주체 이름이 포함된 인증서를 발급합니다.
이 예제에서는 사용자 지정된 보안 주체 이름 요소가 포함된 인증서가 발급됩니다. [표준 인증서 발급(AWS CLI)](#IssueCertCli)와 같은 CSR을 제공하는 것 외에도 **issue-certificate** 명령에 두 개의 추가 인수, 즉 APIPassThrough 템플릿의 ARN과 사용자 지정 속성 및 해당 객체 식별자(OID)를 지정하는 JSON 구성 파일을 전달합니다. `CustomAttributes`와 함께 `StandardAttributes`를 사용할 수는 없지만 표준 OID를 `CustomAttributes`의 일부로 전달할 수는 있습니다. 기본 보안 주체 이름 OID는 다음 표에 나열되어 있습니다([RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) 및 [글로벌 OID 참조 데이터베이스](https://oidref.com)의 정보).
| 보안 주체 이름 | 약어 | 객체 ID |
| --- | --- | --- |
| countryName | c | 2.5.4.6 |
| commonName | cn | 2.5.4.3 |
| dnQualifier[고유 이름 한정자] | | 2.5.4.46 |
| generationQualifier | | 2.5.4.44 |
| givenName | | 2.5.4.42 |
| initials | | 2.5.4.43 |
| locality | l | 2.5.4.7 |
| organizationName | o | 2.5.4.10 |
| organizationalUnitName | ou | 2.5.4.11 |
| pseudonym | | 2.5.4.65 |
| serialNumber | | 2.5.4.5 |
| st [state] | | 2.5.4.8 |
| surname | sn | 2.5.4.4 |
| 제목 | | 2.5.4.12 |
| domainComponent | dc | 0.9.2342.19200300.100.1.25 |
| userid | | 0.9.2342.19200300.100.1.1 |
샘플 구성 파일 `api_passthrough_config.txt`에는 다음 코드가 들어 있습니다.
```
{
"Subject": {
"CustomAttributes": [
{
"ObjectIdentifier": "2.5.4.6",
"Value": "US"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
"Value": "BCDABCDA12341234"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
"Value": "CDABCDAB12341234"
}
]
}
}
```
인증서를 발급하려면 다음 명령을 사용합니다.
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
발급된 인증서의 ARN이 반환됩니다.
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
다음과 같이 로컬에서 인증서를 검색합니다.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
OpenSSL을 사용하여 인증서의 내용을 검사할 수 있습니다.
```
$ openssl x509 -in cert.pem -text -noout
```
**참고**
발급한 각 인증서에 사용자 지정 특성을 전달하는 프라이빗 CA를 만들 수도 있습니다.
## APIPassThrough 템플릿을 사용하여 사용자 지정 확장이 포함된 인증서를 발급합니다.
이 예제에서는 사용자 지정 확장이 포함된 인증서가 발급됩니다. 이를 위해서는 APIPassThrough 템플릿의 ARN, 사용자 지정 확장을 지정하는 JSON 구성 파일, [표준 인증서 발급(AWS CLI)](#IssueCertCli)에 표시된 것과 같은 CSR이라는 세 가지 인수를 **issue-certificate** 명령에 전달해야 합니다.
샘플 구성 파일 `api_passthrough_config.txt`에는 다음 코드가 들어 있습니다.
```
{
"Extensions": {
"CustomExtensions": [
{
"ObjectIdentifier": "2.5.29.30",
"Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
"Critical": true
}
]
}
}
```
사용자 지정 인증서는 다음과 같이 발급됩니다.
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
발급된 인증서의 ARN이 반환됩니다.
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
다음과 같이 로컬에서 인증서를 검색합니다.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
OpenSSL을 사용하여 인증서의 내용을 검사할 수 있습니다.
```
$ openssl x509 -in cert.pem -text -noout
```
# 프라이빗 인증서 검색
AWS Private CA API 및를 사용하여 프라이빗 인증서를 발급 AWS CLI 할 수 있습니다. 이 경우 AWS CLI 또는 AWS Private CA API를 사용하여 해당 인증서를 검색할 수 있습니다. ACM을 사용하여 프라이빗 CA를 생성하고 인증서를 요청한 경우 ACM을 사용하여 인증서와 암호화된 프라이빗 키를 내보내야 합니다. 자세한 내용은 [프라이빗 인증서 내보내기](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)를 참조하세요.
**엔드 엔터티 인증서를 검색하는 방법**
[get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI 명령을 사용하여 프라이빗 최종 엔터티 인증서를 검색합니다. 또한 [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html) API 작업을 사용할 수도 있습니다. sed와 유사한 파서인 [jq](https://stedolan.github.io/jq/)를 사용하여 출력 형식을 지정하는 것이 좋습니다.
**참고**
인증서를 해지하려면 **get-certificate** 명령을 사용하여 16진수 형식으로 일련 번호를 검색할 수 있습니다. 감사 보고서를 생성하여 16진수 일련 번호를 검색할 수도 있습니다. 자세한 내용은 [프라이빗 CA에서 감사 보고서 사용](PcaAuditReport.md) 단원을 참조하십시오.
```
$ aws acm-pca get-certificate \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
jq -r '.Certificate, .CertificateChain'
```
이 명령은 인증서 및 인증서 체인을 다음 표준 형식으로 출력합니다.
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
**CA 인증서를 가져오는 방법**
AWS Private CA API 및를 사용하여 프라이빗 CA에 대한 인증 기관(CA) 인증서를 AWS CLI 검색할 수 있습니다. [get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html) 명령을 실행합니다. [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) 작업을 호출할 수도 있습니다. sed와 유사한 파서인 [jq](https://stedolan.github.io/jq/)를 사용하여 출력 형식을 지정하는 것이 좋습니다.
```
$ aws acm-pca get-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
| jq -r '.Certificate'
```
이 명령은 CA 인증서를 다음과 같은 표준 형식으로 출력합니다.
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
# 프라이빗 인증서 나열
프라이빗 인증서를 나열하려면 감사 보고서를 생성하여 해당 S3 버킷에서 검색하고 필요에 따라 보고서 내용을 분석합니다. AWS Private CA 감사 보고서 작성에 대한 자세한 내용은 [프라이빗 CA에서 감사 보고서 사용](PcaAuditReport.md) 섹션을 참조하세요. S3 버킷에서 객체를 검색하는 방법에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [객체 다운로드를](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) 참조하세요.
다음 예제에서는 감사 보고서를 생성하고 유용한 데이터를 찾기 위해 이를 파싱하는 방법을 보여줍니다. 결과는 JSON으로 포맷되며 데이터는 sed와 유사한 파서인 [jq](https://stedolan.github.io/jq/)를 사용하여 필터링됩니다.
**1. 감사 보고서 생성.**
다음 명령은 지정된 CA에 대한 감사 보고서를 생성합니다.
```
$ aws acm-pca create-certificate-authority-audit-report \
--region region \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON
```
성공할 경우 명령이 새 감사 보고서의 ID와 위치를 반환합니다.
```
{
"AuditReportId":"audit_report_ID",
"S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```
**2. 감사 보고서를 검색하고 형식을 지정합니다.**
이 명령은 감사 보고서를 검색하고, 그 내용을 표준 출력으로 표시하고, 2020-12-01 이후에 발급된 인증서만 표시하도록 결과를 필터링합니다.
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json \
/dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```
반환된 항목은 다음과 유사합니다.
```
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**3. 감사 보고서를 로컬에 저장합니다.**
여러 쿼리를 수행하려는 경우 감사 보고서를 로컬 파일에 저장하는 것이 편리합니다.
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```
이전과 동일한 필터를 사용해도 동일한 결과가 출력됩니다.
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**4. 날짜 범위 내 쿼리**
다음과 같이 날짜 범위 내에 발급된 인증서를 쿼리할 수 있습니다.
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```
필터링된 콘텐츠는 표준 출력에 표시됩니다.
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**5. 지정된 템플릿에 따라 인증서를 검색합니다.**
다음 명령은 템플릿 ARN을 사용하여 보고서 콘텐츠를 필터링합니다.
```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```
출력에는 일치하는 인증서 레코드가 표시됩니다.
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```
**6. 해지된 인증서를 필터링합니다.**
해지된 인증서를 모두 찾으려면 다음 명령을 사용합니다.
```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```
해지된 인증서는 다음과 같이 표시됩니다.
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"revokedAt": "2021-05-27T18:57:32+0000",
"revocationReason": "UNSPECIFIED",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**7. 정규식을 사용하여 필터링합니다.**
다음 명령은 문자열 “leaf”가 포함된 보안 주체 이름을 검색합니다.
```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```
일치하는 인증서 레코드는 다음과 같이 반환됩니다.
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.roo2.leaf4",
"notBefore": "2020-11-16T18:17:10+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-16T19:17:12+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf5",
"notBefore": "2020-12-21T21:28:09+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-12-21T22:28:09+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
# 프라이빗 인증서 및 해당 보안 키 내보내기
AWS Private CA 는 서명 및 발급한 프라이빗 인증서를 직접 내보낼 수 없습니다. 그러나 AWS Certificate Manager 를 사용하여 암호화된 보안 암호 키와 함께 이러한 인증서를 내보낼 수 있습니다. 그러면 인증서는 개인 PKI 어디에나 배포할 수 있도록 완전히 이동이 가능합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서의 [프라이빗 인증서 내보내기](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)를 참조하세요.
추가 이점으로는 ACM 콘솔, ACM API의 `RequestCertificate` 작업 또는의 ACM 섹션에 있는 **request-certificate** 명령을 사용하여 발급된 프라이빗 인증서에 대한 관리형 갱신을 AWS Certificate Manager 제공합니다 AWS CLI. 갱신에 대한 자세한 내용은 [프라이빗 PKI의 인증서 갱신](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html)을 참조하세요.
# 프라이빗 인증서 취소
[revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI 명령 또는 [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) API 작업을 사용하여 AWS Private CA 인증서를 취소할 수 있습니다. 예를 들어 비밀 키가 손상되거나 관련 도메인이 유효하지 않게 되는 경우 예정된 만료 전에 인증서를 해지해야 할 수 있습니다. 해지가 유효하려면 인증서를 사용하는 클라이언트가 보안 네트워크 연결을 구축하려고 할 때마다 해지 상태를 확인할 방법이 필요합니다.
AWS Private CA 는 해지 상태 확인을 지원하는 두 가지 완전 관리형 메커니즘인 온라인 인증서 상태 프로토콜(OCSP)과 인증서 해지 목록(CRLs 제공합니다. OCSP를 사용하면 클라이언트가 상태를 실시간으로 반환하는 신뢰할 수 있는 해지 데이터베이스를 쿼리합니다. 클라이언트는 CRL을 사용하여 인증서를 정기적으로 다운로드하고 저장하는 해지된 인증서 목록과 대조합니다. 클라이언트는 취소된 인증서를 수락하지 않습니다.
OCSP와 CRL은 모두 인증서에 내장된 검증 정보를 기반으로 합니다. 따라서 발급 CA는 발급 전에 이러한 메커니즘 중 하나 또는 둘 다를 지원하도록 구성해야 합니다. 를 통한 관리형 해지 선택 및 구현에 대한 자세한 내용은 섹션을 AWS Private CA참조하세요[AWS Private CA 인증서 해지 방법 계획](revocation-setup.md).
취소된 인증서는 항상 AWS Private CA 감사 보고서에 기록됩니다.
**참고**
교차 계정 호출자의 경우 `AWSRAMRevokeCertificateCertificateAuthority` 권한이 있는 공유가 필요합니다. 해지 권한은에 포함되지 않습니다`AWSRAMDefaultPermissionCertificateAuthority`. 계정 간 발급자가 해지할 수 있도록 하려면 CA 관리자가 동일한 CA를 가리키는 RAM 공유 두 개를 만들어야 합니다.
`AWSRAMRevokeCertificateCertificateAuthority` 권한의 공유.
`AWSRAMDefaultPermissionCertificateAuthority` 권한의 공유.
**인증서를 해지하는 방법**
개인 PKI 인증서를 해지하려면 [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) API 작업 또는 [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) 명령을 사용합니다. 일련 번호는 16진수 형식이어야 합니다. [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) 명령을 호출하여 이 일련 번호를 검색할 수 있습니다. `revoke-certificate` 명령은 응답을 반환하지 않습니다.
```
$ aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-serial serial_number \
--revocation-reason "KEY_COMPROMISE"
```
## 해지된 인증서 및 OCSP
인증서를 해지할 때 OCSP 응답에 새 상태가 반영되기까지 최대 60분이 걸릴 수 있습니다. 일반적으로 OCSP는 해지 정보의 빠른 배포를 지원하는 경향이 있는데, 이는 클라이언트가 며칠 동안 캐시할 수 있는 CRL과 달리 OCSP 응답은 일반적으로 클라이언트에 의해 캐시되지 않기 때문입니다.
## CRL의 해지된 인증서
CRL은 일반적으로 인증서가 해지된 후 약 30분 후에 업데이트됩니다. 어떤 이유로든 CRL 업데이트가 실패하면 AWS Private CA 는 15분마다 추가로 시도합니다.
Amazon CloudWatch를 사용하면 `CRLGenerated` 및 `MisconfiguredCRLBucket` 지표에 대한 경보를 생성할 수 있습니다. 자세한 내용은 [지원되는 CloudWatch 지표](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html)를 참조하십시오. CRL 생성 및 구성에 대한 자세한 내용은 [에 대한 CRL 설정 AWS Private CA](crl-planning.md) 섹션을 참조하세요.
다음 예제에서는 인증서 취소 목록(CRL)에 있는 취소된 인증서를 보여줍니다.
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
```
## 감사 보고서에서 해지된 인증서
해지된 인증서를 포함한 모든 인증서는 프라이빗 CA의 감사 보고서에 포함됩니다. 다음 예제에서는 발급된 인증서 하나와 해지된 인증서 하나가 포함된 감사 보고서를 보여줍니다. 자세한 내용은 [프라이빗 CA에서 감사 보고서 사용](PcaAuditReport.md) 단원을 참조하십시오.
```
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]
```
# 갱신된 인증서 내보내기 자동화
AWS Private CA 를 사용하여 CA를 생성할 때 해당 CA를 로 가져오 AWS Certificate Manager 고 ACM이 인증서 발급 및 갱신을 관리하도록 할 수 있습니다. 갱신되는 인증서가 [통합 서비스](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)에 연결되어 있는 경우 서비스는 새 인증서를 원활하게 적용합니다. 그러나 원래 PKI 환경의 다른 곳(예: 온프레미스 서버 또는 기기)에서 사용하기 위해 인증서를 [내보낸](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) 경우에는 갱신 후 다시 내보내야 합니다.
Amazon EventBridge와 AWS Lambda를 사용하여 ACM 내보내기 프로세스를 자동화하는 샘플 솔루션은 [갱신된 인증서 내보내기 자동화](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export)를 참조하세요.
# AWS Private CA 인증서 템플릿 사용
AWS Private CA 는 구성 템플릿을 사용하여 CA 인증서와 최종 엔터티 인증서를 모두 발급합니다. PCA 콘솔에서 CA 인증서를 발급하면 적절한 루트 또는 하위 CA 인증서 템플릿이 자동으로 적용됩니다.
CLI 또는 API를 사용하여 인증서를 발급하는 경우 템플릿 ARN을 `IssueCertificate` 작업에 대한 파라미터로 제공할 수 있습니다. ARN을 제공하지 않으면 기본적으로 `EndEntityCertificate/V1` 템플릿이 적용됩니다. 자세한 내용은 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API 및 [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) 명령 설명서를 참조하세요.
**참고**
AWS Certificate Manager 프라이빗 CA에 대한 교차 계정 공유 액세스 권한이 있는 (ACM) 사용자는 CA에서 서명한 관리형 인증서를 발급할 수 있습니다. 교차 계정 발급자는 리소스 기반 정책의 제약을 받으며 다음과 같은 최종 엔터티 인증서 템플릿에만 액세스할 수 있습니다.
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[SubordinateCACertificate\$1PathLen0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
자세한 내용은 [리소스 기반 정책](pca-rbp.md) 단원을 참조하십시오.
**Topics**
+ [AWS Private CA 템플릿 품종](template-varieties.md)
+ [AWS Private CA 템플릿 작업 순서](template-order-of-operations.md)
+ [AWS Private CA 템플릿 정의](template-definitions.md)
# AWS Private CA 템플릿 품종
AWS Private CA 는 네 가지 유형의 템플릿을 지원합니다.
+ **기본 템플릿**
패스스루 파라미터가 허용되지 않는 사전 정의된 템플릿.
+ **CSRPassthrough 템플릿**
CSR 패스스루를 허용하여 해당 기본 템플릿 버전을 확장하는 템플릿. 인증서를 발급하는 데 사용되는 CSR의 확장은 발급된 인증서에 복사됩니다. CSR에 템플릿 정의와 충돌하는 확장 값이 포함된 경우 템플릿 정의가 항상 우선 순위가 더 높습니다. 우선 순위에 대한 자세한 내용은 [AWS Private CA 템플릿 작업 순서템플릿 작업 순서](template-order-of-operations.md) 섹션을 참조하세요.
+ **APIPassthrough 템플릿**
API 패스스루를 허용하여 해당 기본 템플릿 버전을 확장하는 템플릿. 관리자 또는 다른 중간 시스템에 알려진 동적 값은 인증서를 요청하는 보안 주체가 알지 못할 수도 있고, 템플릿에서 정의하지 못할 수도 있고, CSR에서 사용할 수 없을 수도 있습니다. 하지만 CA 관리자는 Active Directory와 같은 다른 데이터 소스에서 추가 정보를 검색하여 요청을 완료할 수 있습니다. 예를 들어 컴퓨터가 어떤 조직 단위에 속해 있는지 모르는 경우 관리자는 Active Directory에서 정보를 조회하고 JSON 구조에 정보를 포함시켜 인증서 요청에 해당 정보를 추가할 수 있습니다.
`IssueCertificate` 작업의 `ApiPassthrough` 파라미터 값이 발급된 인증서에 ``복사됩니다. `ApiPassthrough` 파라미터에 템플릿 정의와 충돌하는 정보가 포함된 경우 템플릿 정의가 항상 더 높은 우선 순위를 가집니다. 우선 순위에 대한 자세한 내용은 [AWS Private CA 템플릿 작업 순서템플릿 작업 순서](template-order-of-operations.md) 섹션을 참조하세요.
+ **APICSRPassthrough 템플릿**
API와 CSR 패스스루를 모두 허용하여 해당 기본 템플릿 버전을 확장하는 템플릿. 인증서 발급에 사용된 CSR의 확장은 발급된 인증서에 복사되고 `IssueCertificate` 작업의 `ApiPassthrough` 파라미터 값도 복사됩니다. 템플릿 정의, API 패스스루 값 및 CSR 패스스루 확장이 충돌하는 경우 템플릿 정의의 우선 순위가 가장 높고, API 패스스루 값, CSR 패스스루 확장 순입니다. 우선 순위에 대한 자세한 내용은 [AWS Private CA 템플릿 작업 순서템플릿 작업 순서](template-order-of-operations.md) 섹션을 참조하세요.
아래 표에는에서 지원하는 모든 템플릿 유형이 정의 링크 AWS Private CA 와 함께 나열되어 있습니다.
**참고**
GovCloud 리전의 템플릿 ARNs에 대한 자세한 내용은 *AWS GovCloud (US) 사용 설명서*[AWS Private Certificate Authority](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)의 섹션을 참조하세요.
**기본 템플릿**
| 템플릿 이름 | 템플릿 ARN | 인증서 유형 |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | 코드 서명 |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | 최종 엔터티 |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | 최종 엔터티 |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | 최종 엔터티 |
| [OCSPSigningCertificate/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | OCSP 서명 |
| [RootCACertificate/V1](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [SubordinateCACertificate\$1PathLen0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [SubordinateCACertificate\$1PathLen1/V1](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [SubordinateCACertificate\$1PathLen2/V1](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [SubordinateCACertificate\$1PathLen3/V1](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough 템플릿**
| 템플릿 이름 | 템플릿 ARN | 인증서 유형 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1CSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | 최종 엔터티 |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | 최종 엔터티 |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificate\$1CSRPassthrough/V1](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | 코드 서명 |
| [EndEntityCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | 최종 엔터티 |
| [EndEntityClientAuthCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | 최종 엔터티 |
| [EndEntityServerAuthCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | 최종 엔터티 |
| [OCSPSigningCertificate\$1CSRPassthrough/V1](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | OCSP 서명 |
| [SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough 템플릿**
| 템플릿 이름 | 템플릿 ARN | 인증서 유형 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | 최종 엔터티 |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | 최종 엔터티 |
| [CodeSigningCertificate\$1APIPassthrough/V1](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | 코드 서명 |
| [EndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | 최종 엔터티 |
| [EndEntityClientAuthCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | 최종 엔터티 |
| [EndEntityServerAuthCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | 최종 엔터티 |
| [OCSPSigningCertificate\$1APIPassthrough/V1](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | OCSP 서명 |
| [RootCACertificate\$1APIPassthrough/V1](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough 템플릿**
| 템플릿 이름 | 템플릿 ARN | 인증서 유형 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | 최종 엔터티 |
| | | |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | 최종 엔터티 |
| [CodeSigningCertificate\$1APICSRPassthrough/V1](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | 코드 서명 |
| [EndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | 최종 엔터티 |
| [EndEntityClientAuthCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | 최종 엔터티 |
| [EndEntityServerAuthCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | 최종 엔터티 |
| [OCSPSigningCertificate\$1APICSRPassthrough/V1](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | OCSP 서명 |
| [SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/PathLen3\$1APIPassthroughV1](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS Private CA 템플릿 작업 순서
발급된 인증서에 포함된 정보는 템플릿 정의, API 패스스루, CSR 패스스루, CA 구성의 네 가지 소스에서 가져올 수 있습니다.
API 패스스루 값은 API 패스스루 또는 APICSR 패스스루 템플릿을 사용하는 경우에만 적용됩니다. CSR 패스스루는 CSR 패스스루 또는 APICSR 패스스루 템플릿을 사용하는 경우에만 적용됩니다. 이러한 정보 소스가 서로 충돌하는 경우 일반적으로 일반적인 규칙이 적용됩니다. 각 확장 값에 대해 템플릿 정의의 우선 순위가 가장 높고, API 패스스루 값, CSR 패스스루 확장이 그 뒤를 잇습니다.
**예시**
1. [EndEntityClientAuthCertificate\$1APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) 템플릿 정의는 값이 “TLS 웹 서버 인증, TLS 웹 클라이언트 인증인 확장 키 사용 확장을 정의합니다. ExtendedKeyUsage에 대한 `ApiPassthrough` 값이 CSR 또는 `IssueCertificate` `ApiPassthrough` 파라미터에 정의된 경우 템플릿 정의가 우선하므로 ExtendedKeyUsage 값이 무시되고, 템플릿이 CSR 패스스루 유형이 아니므로 ExtendedKeyUsage 값의 CSR 값은 무시됩니다.
**참고**
하지만 템플릿 정의는 CSR의 다른 값(예: 보안 주체 및 보안 주체 대체 이름)을 덮어씁니다. 템플릿 정의가 항상 가장 높은 우선 순위를 갖기 때문에 템플릿이 CSR 패스스루 유형이 아니더라도 이러한 값은 여전히 CSR에서 가져옵니다.
1. [EndEntityClientAuthCertificate\$1APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough)의 템플릿 정의는 보안 주체 대체 이름(SAN) 확장을 API 또는 CSR에서 복사한 것으로 정의합니다. CSR에 SAN 확장을 정의하고 `IssueCertificate`` ApiPassthrough` 파라미터에 제공하는 경우 API 패스스루 값이 CSR 패스스루 값보다 우선하므로 API 패스스루 값이 우선합니다.
# AWS Private CA 템플릿 정의
다음 섹션에서는 지원되는 AWS Private CA 인증서 템플릿에 대한 구성 세부 정보를 제공합니다.
## BlankEndEntityCertificate\$1APIPassthrough/V1 정의
빈 최종 엔터티 인증서 템플릿을 사용하면 X.509 Basic 제약 조건만 있는 최종 엔터티 인증서를 발급할 수 있습니다. 이는에서 발급 AWS Private CA 할 수 있는 가장 간단한 최종 엔터티 인증서이지만 API 구조를 사용하여 사용자 지정할 수 있습니다. 기본 제약 조건 확장은 인증서가 CA 인증서인지 여부를 정의합니다. 빈 최종 엔터티 인증서 템플릿은 CA 인증서가 아닌 최종 엔터티 인증서가 발급되도록 기본 제약 조건에 FALSE 값을 적용합니다.
빈 패스스루 템플릿을 사용하여 키 사용(KU) 및 확장 키 사용(EKU)에 대한 특정 값이 필요한 스마트 카드 인증서를 발급할 수 있습니다. 예를 들어 확장 키 사용에는 클라이언트 인증 및 스마트 카드 로그온이 필요할 수 있으며, 키 사용에는 디지털 서명, 거부 방지 및 키 암호화가 필요할 수 있습니다. 다른 패스스루 템플릿과 달리 빈 최종 엔터티 인증서 템플릿은 KU 및 EKU 확장을 구성할 수 있습니다. 여기서 KU는 지원되는 9개의 값(digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement, keyCertSign, cRLSign, encipherOnly, decipherOnly) 중 하나일 수 있고, EKU는 지원되는 값(serverAuth, clientAuth, codesigning, emailProtection, timestamping, OCSPSigning)과 사용자 지정 확장일 수 있습니다.
**BlankEndEntityCertificate\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | CA:FALSE |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
## BlankEndEntityCertificate\$1APICSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankEndEntityCertificate\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | CA:FALSE |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
## BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, CA:FALSE |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성, API 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1 definition
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, CA:FALSE |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 API에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, CA:FALSE |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankEndEntityCertificate\$1CSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankEndEntityCertificate\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | CA:FALSE |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 0` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 0` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 0` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 1` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 1` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 1` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 2` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 2` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 2` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 3` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 3` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1 정의
빈 템플릿에 대한 일반적인 정보는 [BlankEndEntityCertificate\$1APIPassthrough/V1 정의](#BlankEndEntityCertificate_APIPassthrough) 섹션을 참조하세요.
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 3` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### CodeSigningCertificate/V1 정의
이 템플릿은 코드 서명에 대한 인증서를 생성하는 데 사용됩니다. 프라이빗 CA 인프라를 기반으로 하는 모든 코드 서명 솔루션 AWS Private CA 에서의 코드 서명 인증서를 사용할 수 있습니다. 예를 들어 용 코드 서명을 사용하는 고객은를 사용하여 코드 서명 인증서를 생성하고 로 AWS Private CA 가져올 AWS IoT 수 있습니다 AWS Certificate Manager. 자세한 내용은 [코드 서명이란 무엇입니까 AWS IoT?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 및 [코드 서명 인증서 가져오기 및 가져오기를 참조하세요](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html).
**CodeSigningCertificate/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | `CA:FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명 |
| 확장 키 사용 | 중요, 코드 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### CodeSigningCertificate\$1APICSRPassthrough/V1 정의
이 템플릿은 코드 디자인 인증서/v1을 확장하여 API 및 CSR 패스스루 값을 지원합니다.
**CodeSigningCertificate\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | `CA:FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명 |
| 확장 키 사용 | 중요, 코드 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### CodeSigningCertificate\$1APIPassthrough/V1 정의
이 템플릿은 한 가지 차이점이 있는 `CodeSigningCertificate` 템플릿과 동일합니다.이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 API를 통해 인증서로 추가 확장을 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 API의 확장보다 우선합니다.
**CodeSigningCertificate\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | `CA:FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명 |
| 확장 키 사용 | 중요, 코드 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### CodeSigningCertificate\$1CSRPassthrough/V1 정의
이 템플릿은 한 가지 차이점이 있는 `CodeSigningCertificate` 템플릿과 동일합니다.이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 인증서 서명 요청(CSR)의 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 CSR의 확장보다 우선합니다.
**CodeSigningCertificate\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | `CA:FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명 |
| 확장 키 사용 | 중요, 코드 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityCertificate/V1 정의
이 템플릿은 운영 체제 또는 웹 서버와 같은 최종 엔터티에 대한 인증서를 생성하는 데 사용됩니다.
**EndEntityCertificate/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 서버 인증, TLS 웹 클라이언트 인증 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityCertificate\$1APICSRPassthrough/V1 정의
이 템플릿은 최종 엔터티 인증서/v1을 확장하여 API 및 CSR 패스스루 값을 지원합니다.
**EndEntityCertificate\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 서버 인증, TLS 웹 클라이언트 인증 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityCertificate\$1APIPassthrough/V1 정의
이 템플릿은 한 가지 차이점이 있는 `EndEntityCertificate` 템플릿과 동일합니다.이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 API를 통해 인증서로 추가 확장을 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 API의 확장보다 우선합니다.
**EndEntityCertificate\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 서버 인증, TLS 웹 클라이언트 인증 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityCertificate\$1CSRPassthrough/V1 정의
이 템플릿은 한 가지 차이점이 있는 `EndEntityCertificate` 템플릿과 동일합니다.이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 인증서 서명 요청(CSR)의 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 CSR의 확장보다 우선합니다.
**EndEntityCertificate\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 서버 인증, TLS 웹 클라이언트 인증 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityClientAuthCertificate/V1 정의
이 템플릿은 TLS 웹 클라이언트 인증으로 제한하는 확장 키 사용 값에서만 `EndEntityCertificate`과 다릅니다.
**EndEntityClientAuthCertificate/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 클라이언트 인증 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityClientAuthCertificate\$1APICSRPassthrough/V1 정의
이 템플릿은 최종 엔터티 클라이언트 인증 인증서/v1을 확장하여 API 및 CSR 패스스루 값을 지원합니다.
**EndEntityClientAuthCertificate\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 클라이언트 인증 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityClientAuthCertificate\$1APIPassthrough/V1 정의
이 템플릿은 한 가지 차이점을 제외하고 `EndEntityClientAuthCertificate` 템플릿과 동일합니다. 이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 API를 통해 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 API의 확장보다 우선합니다.
**EndEntityClientAuthCertificate\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 클라이언트 인증 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityClientAuthCertificate\$1CSRPassthrough/V1 정의
이 템플릿은 한 가지 차이점을 제외하고 `EndEntityClientAuthCertificate` 템플릿과 동일합니다. 이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 인증서 서명 요청(CSR)의 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 CSR의 확장보다 우선합니다.
**EndEntityClientAuthCertificate\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 클라이언트 인증 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityServerAuthCertificate/V1 정의
이 템플릿은 TLS 웹 서버 인증으로 제한하는 확장 키 사용 값에서만 `EndEntityCertificate`과 다릅니다.
**EndEntityServerAuthCertificate/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 서버 인증 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 정의
이 템플릿은 최종 엔터티 서버 인증 인증서/v1을 확장하여 API 및 CSR 패스스루 값을 지원합니다.
**EndEntityServerAuthCertificate\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 서버 인증 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityServerAuthCertificate\$1APIPassthrough/V1 정의
이 템플릿은 한 가지 차이점을 제외하고 `EndEntityServerAuthCertificate` 템플릿과 동일합니다. 이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 API를 통해 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 API의 확장보다 우선합니다.
**EndEntityServerAuthCertificate\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 서버 인증 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### EndEntityServerAuthCertificate\$1CSRPassthrough/V1 정의
이 템플릿은 한 가지 차이점을 제외하고 `EndEntityServerAuthCertificate` 템플릿과 동일합니다. 이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 인증서 서명 요청(CSR)의 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 CSR의 확장보다 우선합니다.
**EndEntityServerAuthCertificate\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | CA:`FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, 키 암호화 |
| 확장 키 사용 | TLS 웹 서버 인증 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### OCSPSigningCertificate/V1 정의
이 템플릿은 OCSP 응답에 서명하기 위한 인증서를 생성하는 데 사용됩니다. 확장 키 사용 값이 코드 서명 대신 OCSP 서명을 지정한다는 점을 제외하면 `CodeSigningCertificate` 템플릿과 동일합니다.
**OCSPSigningCertificate/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | `CA:FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명 |
| 확장 키 사용 | 중요, OCSP 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### OCSPSigningCertificate\$1APICSRPassthrough/V1 정의
이 템플릿은 OCSP 서명 인증서/v1을 확장하여 API 및 CSR 패스스루 값을 지원합니다.
**OCSPSigningCertificate\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | `CA:FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명 |
| 확장 키 사용 | 중요, OCSP 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### OCSPSigningCertificate\$1APIPassthrough/V1 정의
이 템플릿은 한 가지 차이점을 제외하고 `OCSPSigningCertificate` 템플릿과 동일합니다. 이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 API를 통해 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 API의 확장보다 우선합니다.
**OCSPSigningCertificate\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | `CA:FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명 |
| 확장 키 사용 | 중요, OCSP 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### OCSPSigningCertificate\$1CSRPassthrough/V1 정의
이 템플릿은 한 가지 차이점을 제외하고 `OCSPSigningCertificate` 템플릿과 동일합니다. 이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 인증서 서명 요청(CSR)의 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 CSR의 확장보다 우선합니다.
**OCSPSigningCertificate\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | `CA:FALSE` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명 |
| 확장 키 사용 | 중요, OCSP 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### RootCACertificate/V1 정의
이 템플릿은 자체 서명된 루트 CA 인증서를 발급하는 데 사용됩니다. CA 인증서에는 CA 인증서를 발급하는 데 사용할 수 있음을 지정하도록 CA 필드가 `TRUE`로 설정된 중요한 기본 제약 조건 확장이 포함됩니다. 템플릿은 경로 길이([pathLenConstraint](PcaTerms.md#terms-pathlength))를 지정하지 않습니다. 이렇게 하면 향후 계층 구조 확장이 방해될 수 있기 때문입니다. CA 인증서가 TLS 클라이언트 또는 서버 인증서로 사용되는 막기 위해 확장 키 사용은 제외됩니다. 자체 서명된 인증서를 해지할 수 없으므로 CRL 정보가 지정되지 않았습니다.
**RootCACertificate/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE` |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, keyCertSign, CRL 서명 |
| CRL 배포 지점 | 해당 사항 없음 |
### RootCACertificate\$1APIPassthrough/V1 정의
이 템플릿은 루트 CA 인증서/v1을 확장하여 API 패스스루 값을 지원합니다.
**RootCACertificate\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE` |
| 인증 기관 키 식별자 | [API에서의 패스스루] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, keyCertSign, CRL 서명 |
| CRL 배포 지점\$1 | 해당 사항 없음 |
### BlankRootCACertificate\$1APIPassthrough/V1 정의
빈 루트 인증서 템플릿을 사용하면 X.509 기본 제약 조건만 있는 루트 인증서를 발급할 수 있습니다. 이는에서 발급 AWS Private CA 할 수 있는 가장 간단한 루트 인증서이지만 API 구조를 사용하여 사용자 지정할 수 있습니다. 기본 제약 조건 확장은 인증서가 CA 인증서인지 여부를 정의합니다. 빈 루트 인증서 템플릿은 기본 제약 조건에 `TRUE` 대해 값을 적용하여 루트 CA 인증서가 발급되도록 합니다.
빈 패스스루 루트 템플릿을 사용하여 키 사용(KU)에 특정 값이 필요한 루트 인증서를 발급할 수 있습니다. 예를 들어 키 사용에 `keyCertSign` 및가 필요할 수 `cRLSign`있지만는 필요하지 않습니다`digitalSignature`. 비어 있지 않은 다른 루트 패스스루 인증서 템플릿과 달리 빈 루트 인증서 템플릿은 KU 확장의 구성을 허용합니다. 여기서 KU는 9개의 지원되는 값(`digitalSignature`, , `nonRepudiation`, `keyEncipherment`, `dataEncipherment`, `keyAgreement`, `keyCertSign``cRLSign`, , `encipherOnly`, ) 중 하나일 수 있습니다`decipherOnly`.
**BlankRootCACertificate\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE` |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
### BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1 정의
빈 루트 CA 템플릿에 대한 일반적인 내용은 섹션을 참조하세요[BlankRootCACertificate\$1APIPassthrough/V1 정의](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 0` |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
### BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1 정의
빈 루트 CA 템플릿에 대한 일반적인 내용은 섹션을 참조하세요[BlankRootCACertificate\$1APIPassthrough/V1 정의](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 1` |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
### BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1 정의
빈 루트 CA 템플릿에 대한 일반적인 내용은 섹션을 참조하세요[BlankRootCACertificate\$1APIPassthrough/V1 정의](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 2` |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
### BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1 정의
빈 루트 CA 템플릿에 대한 일반적인 내용은 섹션을 참조하세요[BlankRootCACertificate\$1APIPassthrough/V1 정의](#BlankRootCACertificate_APIPassthrough).
**BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 3` |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
### SubordinateCACertificate\$1PathLen0/V1 정의
이 템플릿은 경로 길이가 인 하위 CA 인증서를 발급하는 데 사용됩니다`0`. CA 인증서에는 CA 인증서를 발급하는 데 사용할 수 있음을 지정하도록 CA 필드가 `TRUE`로 설정된 중요한 기본 제약 조건 확장이 포함됩니다. 확장 키 사용은 포함되지 않으므로 CA 인증서가 TLS 클라이언트 또는 서버 인증서로 사용되지 않습니다.
인증 경로에 대한 자세한 내용은 [인증 경로에서 길이 제약 조건 설정](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)을 참조하십시오.
**SubordinateCACertificate\$1PathLen0/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 0` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성이 활성화된 상태로 구성된 경우에만이 템플릿으로 발급된 인증서에 포함됩니다.
### SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1 정의
이 템플릿은 SubordinateCACertificate\$1PathLen0/V1을 확장하여 API 및 CSR 패스스루 값을 지원합니다.
**SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 0` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1 정의
이 템플릿은 SubordinateCACertificate\$1PathLen0/V1을 확장하여 API 패스스루 값을 지원합니다.
**SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 0` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1 정의
이 템플릿은 한 가지 차이점이 있는 `SubordinateCACertificate_PathLen0` 템플릿과 동일합니다.이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 인증서 서명 요청(CSR)의 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 CSR의 확장보다 우선합니다.
**참고**
사용자 지정 추가 확장이 포함된 CSR은 AWS Private CA외부에서 생성해야 합니다.
**SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 0` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 이 템플릿으로 발급된 인증서에 포함됩니다.
### SubordinateCACertificate\$1PathLen1/V1 정의
이 템플릿은 경로 길이가 인 하위 CA 인증서를 발급하는 데 사용됩니다`1`. CA 인증서에는 CA 인증서를 발급하는 데 사용할 수 있음을 지정하도록 CA 필드가 `TRUE`로 설정된 중요한 기본 제약 조건 확장이 포함됩니다. 확장 키 사용은 포함되지 않으므로 CA 인증서가 TLS 클라이언트 또는 서버 인증서로 사용되지 않습니다.
인증 경로에 대한 자세한 내용은 [인증 경로에서 길이 제약 조건 설정](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)을 참조하십시오.
**SubordinateCACertificate\$1PathLen1/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 1` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 이 템플릿으로 발급된 인증서에 포함됩니다.
### SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1 정의
이 템플릿은 SubordinateCACertificate\$1PathLen1/V1을 확장하여 API 및 CSR 패스스루 값을 지원합니다.
**SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 1` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1 정의
이 템플릿은 SubordinateCACertificate\$1PathLen0/V1을 확장하여 API 패스스루 값을 지원합니다.
**SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 1` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1 정의
이 템플릿은 한 가지 차이점이 있는 `SubordinateCACertificate_PathLen1` 템플릿과 동일합니다.이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 인증서 서명 요청(CSR)의 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 CSR의 확장보다 우선합니다.
**참고**
사용자 지정 추가 확장이 포함된 CSR은 AWS Private CA외부에서 생성해야 합니다.
**SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 1` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 이 템플릿으로 발급된 인증서에 포함됩니다.
### SubordinateCACertificate\$1PathLen2/V1 정의
이 템플릿은 경로 길이가 2인 하위 CA 인증서를 발급하는 데 사용됩니다. CA 인증서에는 CA 인증서를 발급하는 데 사용할 수 있음을 지정하도록 CA 필드가 `TRUE`로 설정된 중요한 기본 제약 조건 확장이 포함됩니다. 확장 키 사용은 포함되지 않으므로 CA 인증서가 TLS 클라이언트 또는 서버 인증서로 사용되지 않습니다.
인증 경로에 대한 자세한 내용은 [인증 경로에서 길이 제약 조건 설정](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)을 참조하십시오.
**SubordinateCACertificate\$1PathLen2/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 2` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 이 템플릿으로 발급된 인증서에 포함됩니다.
### SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1 정의
이 템플릿은 SubordinateCACertificate\$1PathLen2/V1을 확장하여 API 및 CSR 패스스루 값을 지원합니다.
**SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 2` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1 정의
이 템플릿은 SubordinateCACertificate\$1PathLen2/V1을 확장하여 API 패스스루 값을 지원합니다.
**SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 2` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1 정의
이 템플릿은 한 가지 차이점이 있는 `SubordinateCACertificate_PathLen2` 템플릿과 동일합니다.이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 인증서 서명 요청(CSR)의 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 CSR의 확장보다 우선합니다.
**참고**
사용자 지정 추가 확장이 포함된 CSR은 AWS Private CA외부에서 생성해야 합니다.
**SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 2` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 이 템플릿으로 발급된 인증서에 포함됩니다.
### SubordinateCACertificate\$1PathLen3/V1 정의
이 템플릿은 경로 길이가 3인 하위 CA 인증서를 발급하는 데 사용됩니다. CA 인증서에는 CA 인증서를 발급하는 데 사용할 수 있음을 지정하도록 CA 필드가 `TRUE`로 설정된 중요한 기본 제약 조건 확장이 포함됩니다. 확장 키 사용은 포함되지 않으므로 CA 인증서가 TLS 클라이언트 또는 서버 인증서로 사용되지 않습니다.
인증 경로에 대한 자세한 내용은 [인증 경로에서 길이 제약 조건 설정](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)을 참조하십시오.
**SubordinateCACertificate\$1PathLen3/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 3` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 이 템플릿으로 발급된 인증서에 포함됩니다.
### SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1 정의
이 템플릿은 SubordinateCACertificate\$1PathLen3/V1을 확장하여 API 및 CSR 패스스루 값을 지원합니다.
**SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 3` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1 정의
이 템플릿은 SubordinateCACertificate\$1PathLen3/V1을 확장하여 API 패스스루 값을 지원합니다.
**SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [API 또는 CSR을 통한 패스스루] |
| 제목 | [API 또는 CSR을 통한 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 3` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성에서의 패스스루] |
\$1 CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 템플릿에 포함됩니다.
### SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1 정의
이 템플릿은 한 가지 차이점이 있는 `SubordinateCACertificate_PathLen3` 템플릿과 동일합니다.이 템플릿에서는 템플릿에 확장이 지정되지 않은 경우 인증서 서명 요청(CSR)의 추가 확장을 인증서로 AWS Private CA 전달합니다. 템플릿에 지정된 확장은 항상 CSR의 확장보다 우선합니다.
**참고**
사용자 지정 추가 확장이 포함된 CSR은 AWS Private CA외부에서 생성해야 합니다.
**SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 파라미터 | 값 |
| --- | --- |
| 보안 주체 대체 이름 | [CSR에서의 패스스루] |
| 제목 | [CSR에서의 패스스루] |
| 기본 제약 조건 | 중요, `CA:TRUE`, `pathlen: 3` |
| 인증 기관 키 식별자 | [CA 인증서에서의 SKI] |
| 보안 주체 키 식별자 | [CSR에서 파생됨] |
| 키 사용 | 중요, 디지털 서명, `keyCertSign`, CRL 서명 |
| CRL 배포 지점\$1 | [CA 구성 또는 CSR에서의 패스스루] |
\$1CRL 배포 지점은 CA가 CRL 생성을 사용하도록 구성된 경우에만 이 템플릿으로 발급된 인증서에 포함됩니다.