As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Emita e gerencie certificados em CA Privada da AWS
<a name="PcaUsing"></a>

Depois de criar e ativar uma autoridade de certificação (CA) privada e configurar o acesso a ela, você ou seus usuários autorizados podem emitir e gerenciar certificados. Se você ainda não configurou políticas AWS Identity and Access Management (IAM) para a CA, saiba mais sobre como configurá-las na seção [Identity and Access Management](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html) deste guia. Para obter informações sobre como configurar o acesso à CA em cenários de conta única e entre contas, consulte [Controle o acesso à CA privada](granting-ca-access.md).

**Topics**
+ [Emitir certificados de entidade final privada](PcaIssueCert.md)
+ [Recuperar um certificado privado](PcaGetCert.md)
+ [Listar certificados privados](PcaListCerts.md)
+ [Exportar um certificado privado e sua chave secreta](export-in-acm.md)
+ [Revogar um certificado privado](PcaRevokeCert.md)
+ [Automatize a exportação de um certificado renovado](auto-export.md)
+ [Use modelos CA Privada da AWS de certificado](UsingTemplates.md)

# Emitir certificados de entidade final privada
<a name="PcaIssueCert"></a>

Com uma CA privada em vigor, você pode solicitar certificados de entidade final privada do AWS Certificate Manager (ACM) ou. CA privada da AWS Os recursos de ambos os serviços são comparados na tabela a seguir.


****  

|  Recurso  |  ACM  |  CA privada da AWS  | 
| --- | --- | --- | 
|  Emitir certificados de entidade final  |  ✓ (usando [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) ou o console)  |  ✓ (usando [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html))  | 
|  Associação com balanceadores de carga e serviços voltados para a Internet AWS   |  ✓  |  Não compatível  | 
| Renovação gerenciada de certificados | ✓ | [Com suporte](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) indireto por meio do ACM | 
|  Suporte a consoles  |  ✓  |  Não compatível  | 
|  Suporte à API  |  ✓  |  ✓  | 
|  Compatibilidade da CLI  |  ✓  |  ✓  | 

Ao CA privada da AWS criar um certificado, ele segue um modelo que especifica o tipo de certificado e o comprimento do caminho. Se nenhum ARN de modelo for fornecido à instrução de API ou CLI que cria o certificado, o modelo [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) é aplicado por padrão. Para obter mais informações sobre modelos de certificado disponíveis, consulte [Use modelos CA Privada da AWS de certificado](UsingTemplates.md).

Embora os certificados ACM sejam projetados com base na confiança pública, CA privada da AWS atendem às necessidades de sua PKI privada. Consequentemente, você pode configurar certificados usando a CA privada da AWS API e a CLI de maneiras não permitidas pelo ACM. Incluindo o seguinte:
+ Criar um certificado com qualquer nome de requerente.
+ Usar qualquer um dos [algoritmos de chave privada e tamanhos de chave compatíveis](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Usar qualquer um dos [algoritmos de assinatura compatíveis](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html).
+ Especificar qualquer período de validade para a [CA](PcaCreateCa.html) privada e os [certificados](PcaIssueCert.html) privados.

Depois de criar um certificado TLS privado usando CA privada da AWS, você pode [importá-lo](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) para o ACM e usá-lo com um serviço compatível AWS .

**nota**  
Os certificados criados com o procedimento abaixo, usando o **issue-certificate** comando ou com a ação da [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API, não podem ser exportados diretamente para uso externo AWS. Porém, você pode usar sua CA privada para assinar certificados emitidos pelo ACM, e esses certificados podem ser exportados juntamente com suas chaves secretas. Para obter mais informações, consulte [Solicitar um certificado prvado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) e [Exportar certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html), no *Guia do Usuário do ACM*.

## Emitir um certificado padrão (AWS CLI)
<a name="IssueCertCli"></a>

Você pode usar o comando da CA privada da AWS CLI [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) ou a ação da API [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)para solicitar um certificado de entidade final. Esse comando requer o nome de recurso da Amazon (ARN) da CA privada que você deseja usar para emitir o certificado. Você também deve gerar uma solicitação de assinatura de certificado (CSR) usando um programa como o [OpenSSL](https://www.openssl.org/).

Se você usa a CA privada da AWS API ou AWS CLI emite um certificado privado, o certificado não é gerenciado, o que significa que você não pode usar o console do ACM, a CLI do ACM ou a API do ACM para visualizá-lo ou exportá-lo, e o certificado não é renovado automaticamente. Porém, você pode usar o comando [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) do PCA para recuperar os detalhes do certificado e, se for proprietário da CA, poderá criar um [relatório de auditoria](PcaAuditReport.md).

**Considerações ao criar certificados**
+ Em conformidade com o [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), o tamanho do nome de domínio (tecnicamente, o Nome Comum) fornecido não pode exceder 64 octetos (caracteres), incluindo pontos. Para adicionar um nome de domínio mais longo, especifique-o no campo Nome alternativo do requerente, que oferece suporte a nomes de até 253 octetos de comprimento. 
+ Se você estiver usando a AWS CLI versão 1.6.3 ou posterior, use o prefixo `fileb://` ao especificar arquivos de entrada codificados em base64, como. CSRs Isso garante que os dados CA privada da AWS sejam analisados corretamente.

O comando OpenSSL a seguir gera uma CSR e uma chave privada para um certificado:

```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```

É possível inspecionar o conteúdo do CSR da seguinte maneira:

```
$ openssl req -in csr.pem -text -noout
```

A saída resultante deve ser semelhante a este exemplo abreviado:

```
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Big Org, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
                    a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
                    00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
                    ...
                    aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
                    5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
                    9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
                    d3:63
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
         42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
         21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
         ....
         3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
         09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
         fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
         0b:53:e5:22
```

O comando abaixo cria um certificado. Como nenhum modelo foi especificado, um certificado básico de entidade final é emitido por padrão.

```
$ aws acm-pca issue-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --csr fileb://csr.pem \
      --signing-algorithm "SHA256WITHRSA" \
      --validity Value=365,Type="DAYS"
```

O ARN do certificado emitido é retornado:

```
{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```

**nota**  
CA privada da AWS retorna imediatamente um ARN com um número de série ao receber o **issue-certificate** comando. Porém, o processamento do certificado ocorre de maneira assíncrona e ainda pode falhar. Se isso acontecer, um comando **get-certificate** usando o novo ARN também falhará.

## Emitir um certificado com um nome de assunto personalizado usando um APIPassthrough modelo
<a name="custom-subject-1"></a>

Neste exemplo, é emitido um certificado contendo elementos personalizados do nome do requerente. Além de fornecer um CSR como o fornecido[Emitir um certificado padrão (AWS CLI)](#IssueCertCli), você passa dois argumentos adicionais para o **issue-certificate** comando: o ARN de um APIPassthrough modelo e um arquivo de configuração JSON que especifica os atributos personalizados e seus identificadores de objeto (). OIDs Você não pode usar `StandardAttributes` em conjunto com `CustomAttributes` o. no entanto, você pode passar pelo padrão OIDs como parte do`CustomAttributes`. O nome do assunto padrão OIDs está listado na tabela a seguir (informações do [RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) e do banco de dados de [referência do Global OID):](https://oidref.com)


|  Nome do requerente  |  Abreviação  |  ID de objeto  | 
| --- | --- | --- | 
|  countryName  |  c  | 2.5.4.6 | 
|  commonName  |  cn  | 2.5.4.3 | 
|  dnQualifier [qualificador de nome distinto]  |    | 2.5.4.46 | 
|  generationQualifier  |    | 2.5.4.44 | 
|  givenName  |    | 2.5.4.42 | 
|  Initials  |    | 2.5.4.43 | 
|  Locality  |  l  | 2.5.4.7 | 
|  organizationName  |  o  | 2.5.4.10 | 
|  organizationalUnitName  |  ou  | 2.5.4.11 | 
|  Pseudonym  |    | 2.5.4.65 | 
|  SerialNumber  |    | 2.5.4.5 | 
|  st [estado]  |    | 2.5.4.8 | 
|  surname  |  sn  | 2.5.4.4 | 
|  título  |    | 2.5.4.12 | 
|  domainComponent  |  dc  |  0.9.2342.19200300.100.1.25  | 
|  userid  |    |  0.9.2342.19200300.100.1.1  | 

O arquivo de configuração de amostra `api_passthrough_config.txt` contém o código a seguir:

```
{
  "Subject": {
    "CustomAttributes": [
      {
        "ObjectIdentifier": "2.5.4.6",
        "Value": "US"
      },
      {
        "ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
        "Value": "BCDABCDA12341234"
      },
      {
        "ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
        "Value": "CDABCDAB12341234"
      }
    ]
  }
}
```

Use o seguinte comando para emitir o certificado:

```
$ aws acm-pca issue-certificate \
      --validity Type=DAYS,Value=10 
      --signing-algorithm "SHA256WITHRSA" \
      --csr fileb://csr.pem \
      --api-passthrough file://api_passthrough_config.txt \
      --template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```

O ARN do certificado emitido é retornado:

```
{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```

Recupere o certificado localmente, da seguinte maneira:

```
$ aws acm-pca get-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
      jq -r .'Certificate' > cert.pem
```

É possível inspecionar o conteúdo do certificado usando OpenSSL:

```
$ openssl x509 -in cert.pem -text -noout
```

**nota**  
Também é possível criar uma CA privada que transmita atributos personalizados a cada certificado emitido.

## Emitir um certificado com extensões personalizadas usando um APIPassthrough modelo
<a name="custom-subject-2"></a>

Nesse exemplo, é emitido um certificado que contém extensões personalizadas. Para isso, você precisa passar três argumentos para o **issue-certificate** comando: o ARN de um APIPassthrough modelo e um arquivo de configuração JSON que especifica as extensões personalizadas e uma CSR como a mostrada em. [Emitir um certificado padrão (AWS CLI)](#IssueCertCli) 

O arquivo de configuração de amostra `api_passthrough_config.txt` contém o código a seguir:

```
{
  "Extensions": {
    "CustomExtensions": [
      {
        "ObjectIdentifier": "2.5.29.30",
        "Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
        "Critical": true
      }
    ]
  }
}
```

O certificado personalizado é emitido da seguinte maneira:

```
$ aws acm-pca issue-certificate \
      --validity Type=DAYS,Value=10 
      --signing-algorithm "SHA256WITHRSA" \
      --csr fileb://csr.pem \
      --api-passthrough file://api_passthrough_config.txt \
      --template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```

O ARN do certificado emitido é retornado:

```
{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```

Recupere o certificado localmente, da seguinte maneira:

```
$ aws acm-pca get-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
      jq -r .'Certificate' > cert.pem
```

É possível inspecionar o conteúdo do certificado usando OpenSSL:

```
$ openssl x509 -in cert.pem -text -noout
```

# Recuperar um certificado privado
<a name="PcaGetCert"></a>

Você pode usar a CA privada da AWS API e AWS CLI emitir um certificado privado. Se você fizer isso, poderá usar a CA privada da AWS API AWS CLI ou para recuperar esse certificado. Se você tiver usado o ACM para criar a sua CA privada para solicitar certificados, deverá usar o ACM para exportar o certificado e a chave privada criptografada. Para obter mais informações, consulte [Exportar um certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html). 

**Para recuperar um certificado de entidade final**  
Use o AWS CLI comando [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) para recuperar um certificado de entidade final privada. Você também pode usar a operação [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html)da API. Convém formatar a saída com [jq](https://stedolan.github.io/jq/), um analisador semelhante a sed.

**nota**  
Se você quiser revogar um certificado, poderá usar o comando **get-certificate** para recuperar o número de série em formato hexadecimal. Você também pode criar um relatório de auditoria para recuperar o número de série hexadecimal. Para obter mais informações, consulte [Use relatórios de auditoria com sua CA privada](PcaAuditReport.md). 

```
$ aws acm-pca get-certificate \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
      jq -r '.Certificate, .CertificateChain'
```

Esse comando gera o certificado e a cadeia de certificado no seguinte formato padrão.

```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```

**Para recuperar um certificado de CA**  
Você pode usar a CA privada da AWS API e AWS CLI recuperar o certificado da autoridade de certificação (CA) da sua CA privada. Execute o comando [get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html). Você também pode chamar a operação [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) . Convém formatar a saída com [jq](https://stedolan.github.io/jq/), um analisador semelhante a sed. 

```
$ aws acm-pca get-certificate-authority-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     | jq -r '.Certificate'
```

Esse comando gera o certificado de CA no seguinte formato padrão.

```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```

# Listar certificados privados
<a name="PcaListCerts"></a>

Para listar seus certificados privados, gere um relatório de auditoria, recupere-o no bucket do S3 e analise seu conteúdo conforme necessário. Para obter mais informações sobre como criar relatórios de auditoria do CA privada da AWS , consulte [Use relatórios de auditoria com sua CA privada](PcaAuditReport.md). Para obter informações sobre como recuperar um objeto de um bucket do S3, consulte [Baixar um objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html), no *Guia do usuário do Amazon Simple Storage Service*.

Os exemplos a seguir ilustram abordagens à criação de relatórios de auditoria e sua análise em busca de dados úteis. Os resultados são formatados em JSON, e os dados são filtrados usando o [jq](https://stedolan.github.io/jq/), um analisador ao estilo do sed.

**1. Crie um relatório de auditoria.**  
O comando a seguir gera um relatório de auditoria para uma CA especificada. 

```
$ aws acm-pca create-certificate-authority-audit-report \
     --region region \     
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
     --s3-bucket-name bucket_name \
     --audit-report-response-format JSON
```

Se for bem-sucedido, ele retornará a ID e a localização do novo relatório de auditoria.

```
{
   "AuditReportId":"audit_report_ID",
   "S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```

**2. Recupere e formate um relatório de auditoria.**  
Esse comando recupera um relatório de auditoria, exibe seu conteúdo na saída padrão e filtra os resultados para mostrar somente certificados emitidos em ou depois de 01/12/2020.

```
$ aws s3api get-object \
     --region region \
     --bucket bucket_name \
     --key audit-report/CA_ID/audit_report_ID.json \
     /dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```

Os itens retornados são semelhantes a:

```
{
   "awsAccountId":"account",
   "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial":"serial_number",
   "subject":"CN=pca.alpha.root2.leaf5",
   "notBefore":"2020-12-21T21:28:09+0000",
   "notAfter":"9999-12-31T23:59:59+0000",
   "issuedAt":"2020-12-21T22:28:09+0000",
   "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**3. Salve um relatório de auditoria localmente.**  
Se quiser fazer várias consultas, é conveniente salvar um relatório de auditoria em um arquivo local.

```
$ aws s3api get-object \
     --region region \
     --bucket bucket_name \
     --key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```

O mesmo filtro anterior produz a mesma saída:

```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
   "awsAccountId":"account",
   "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial":"serial_number",
   "subject":"CN=pca.alpha.root2.leaf5",
   "notBefore":"2020-12-21T21:28:09+0000",
   "notAfter":"9999-12-31T23:59:59+0000",
   "issuedAt":"2020-12-21T22:28:09+0000",
   "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**4. Consulta dentro de um intervalo de datas**  
É possível consultar certificados emitidos dentro de um intervalo de datas, da seguinte maneira:

```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```

O conteúdo filtrado é exibido na saída padrão:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf1",
   "notBefore": "2020-11-06T19:18:21+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:18:22+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.rsa2048sha256",
   "notBefore": "2020-11-06T19:15:46+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:15:46+0000",
   "templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf2",
   "notBefore": "2020-11-06T20:04:39+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T21:04:39+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**5. Procure certificados seguindo um modelo especificado.**  
O comando a seguir filtra o conteúdo do relatório usando um ARN de modelo:

```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```

A saída mostra registros de certificado correspondentes:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.rsa2048sha256",
   "notBefore": "2020-11-06T19:15:46+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:15:46+0000",
   "templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```

**6. Filtro de certificados revogados**  
Para localizar todos os certificados revogados, use o seguinte comando:

```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```

Um certificado revogado é exibido da seguinte maneira:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf2",
   "notBefore": "2020-11-06T20:04:39+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T21:04:39+0000",
   "revokedAt": "2021-05-27T18:57:32+0000",
   "revocationReason": "UNSPECIFIED",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

**7. Filtre usando uma expressão regular.**  
O comando a seguir procura nomes de requerentes que contenham a string “leaf”:

```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```

Os registros de certificado correspondentes são retornados da seguinte maneira:

```
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.roo2.leaf4",
   "notBefore": "2020-11-16T18:17:10+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-16T19:17:12+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf5",
   "notBefore": "2020-12-21T21:28:09+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-12-21T22:28:09+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
   "awsAccountId": "account",
   "certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
   "serial": "serial_number",
   "subject": "CN=pca.alpha.root2.leaf1",
   "notBefore": "2020-11-06T19:18:21+0000",
   "notAfter": "9999-12-31T23:59:59+0000",
   "issuedAt": "2020-11-06T20:18:22+0000",
   "templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```

# Exportar um certificado privado e sua chave secreta
<a name="export-in-acm"></a>

CA privada da AWS não pode exportar diretamente um certificado privado assinado e emitido. No entanto, você pode usar AWS Certificate Manager para exportar esse certificado junto com sua chave secreta criptografada. O certificado é então totalmente portável para implantação em qualquer parte da sua PKI privada. Para obter mais informações, consulte [Exportação de um certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) no Guia do AWS Certificate Manager usuário.

Como benefício adicional, AWS Certificate Manager fornece renovação gerenciada para certificados privados emitidos usando o console do ACM, a `RequestCertificate` ação da API do ACM ou o **request-certificate** comando na seção ACM do. AWS CLI Para obter mais informações sobre renovações, consulte [Renovar certificados em uma PKI privada](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html).

# Revogar um certificado privado
<a name="PcaRevokeCert"></a>

Você pode revogar um CA privada da AWS certificado usando o AWS CLI comando [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) ou a ação da API. [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) Um certificado talvez precise ser revogado antes de sua expiração programada se, por exemplo, sua chave secreta for comprometida ou o domínio associado se tornar inválido. Para que a revogação seja efetiva, o cliente que usa esse certificado precisa de uma maneira de verificar o status da revogação sempre que tentar criar uma conexão de rede segura.

CA privada da AWS fornece dois mecanismos totalmente gerenciados para suportar a verificação do status de revogação: Online Certificate Status Protocol (OCSP) e listas de revogação de certificados (). CRLs Com o OCSP, o cliente consulta um banco de dados de revogação autoritativo que retorna um status em tempo real. Com uma CRL, o cliente compara o certificado com uma lista de certificados revogados que ele baixa e armazena periodicamente. Clientes se recusam a aceitar certificados que foram revogados. 

Tanto o OCSP quanto o OCSP CRLs dependem das informações de validação incorporadas nos certificados. Por isso, uma CA emissora deve ser configurada para oferecer suporte a um ou a ambos os mecanismos antes da emissão. Para obter informações sobre como selecionar e implementar a revogação gerenciada por meio de CA privada da AWS, consulte. [Planeje seu método CA Privada da AWS de revogação de certificado](revocation-setup.md)

Os certificados revogados são sempre registrados nos relatórios CA privada da AWS de auditoria. 

**nota**  
Para chamadores de várias contas, é necessário compartilhar com a `AWSRAMRevokeCertificateCertificateAuthority` permissão. As permissões de revogação não estão incluídas em. `AWSRAMDefaultPermissionCertificateAuthority` Para permitir a revogação por emissores de várias contas, o administrador da CA deve criar dois compartilhamentos de RAM, ambos apontando para a mesma CA:  
Um compartilhamento com a permissão `AWSRAMRevokeCertificateCertificateAuthority`.
Um compartilhamento com a permissão `AWSRAMDefaultPermissionCertificateAuthority`.

**Para revogar um certificado**  
Use a ação da [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API ou o comando [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) para revogar um certificado PKI privado. O número de série deve estar no formato hexadecimal. É possível recuperar o número de série chamando o comando [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html). O comando `revoke-certificate` não retorna uma resposta. 

```
$ aws acm-pca revoke-certificate \
     --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ 
     --certificate-serial serial_number \ 
     --revocation-reason "KEY_COMPROMISE"
```

## Certificados revogados e o OCSP
<a name="PcaRevokeOcsp"></a>

As respostas do OCSP podem levar até 60 minutos para refletir o novo status quando um certificado é revogado. Em geral, o OCSP tende a oferecer suporte à distribuição mais rápida de informações de revogação porque, ao contrário do CRLs que pode ser armazenado em cache pelos clientes por dias, as respostas do OCSP normalmente não são armazenadas em cache pelos clientes.

## Certificados revogados em uma CRL
<a name="PcaRevokeCrl"></a>

Uma CRL normalmente é atualizada aproximadamente 30 minutos depois que um certificado é revogado. Se por algum motivo uma atualização da CRL falhar, CA privada da AWS faça novas tentativas a cada 15 minutos.

Com a Amazon CloudWatch, você pode criar alarmes para as métricas `CRLGenerated` e. `MisconfiguredCRLBucket` Para obter mais informações, consulte [ CloudWatchMétricas suportadas](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html). Para obter mais informações sobre criação e configuração CRLs, consulte[Configure uma CRL para CA Privada da AWS](crl-planning.md). 

O exemplo a seguir mostra um certificado revogado em uma lista de revogação de certificados (CRL).

```
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
        Last Update: Jan 10 19:28:47 2018 GMT
        Next Update: Jan  8 20:28:47 2028 GMT
        CRL extensions:
            X509v3 Authority key identifier:
                keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67

            X509v3 CRL Number:
                1515616127629
Revoked Certificates:
    Serial Number: B17B6F9AE9309C51D5573BCA78764C23
        Revocation Date: Jan  9 17:19:17 2018 GMT
        CRL entry extensions:
            X509v3 CRL Reason Code:
                Key Compromise
    Signature Algorithm: sha256WithRSAEncryption
         21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
         99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
         f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
         98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
         2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
         54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
         1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
         58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
         f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
         d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
         43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
         a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
         5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
         65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
         0e:81:b2:76
```

## Certificados revogados em um relatório de auditoria
<a name="PcaRevokeAuditReport"></a>

Todos os certificados, incluindo certificados revogados, são incluídos no relatório de auditoria de uma CA privada. O exemplo a seguir mostra um relatório de auditoria com um certificado revogado e um emitido. Para obter mais informações, consulte [Use relatórios de auditoria com sua CA privada](PcaAuditReport.md). 

```
[
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-02-26T18:39:57+0000",
      "notAfter":"2019-02-26T19:39:57+0000",
      "issuedAt":"2018-02-26T19:39:58+0000",
      "revokedAt":"2018-02-26T20:00:36+0000",
      "revocationReason":"KEY_COMPROMISE"
   },
   {
      "awsAccountId":"account",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"serial_number",
      "Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2018-01-22T20:10:49+0000",
      "notAfter":"2019-01-17T21:10:49+0000",
      "issuedAt":"2018-01-22T21:10:49+0000"
   }
]
```

# Automatize a exportação de um certificado renovado
<a name="auto-export"></a>

Ao usar CA privada da AWS para criar uma CA, você pode importar essa CA AWS Certificate Manager e deixar o ACM gerenciar a emissão e a renovação do certificado. Se um certificado que está sendo renovado estiver associado a um [serviço integrado](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html), o serviço aplicará o novo certificado perfeitamente. Porém, se o certificado foi originalmente [exportado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) para uso em outro local do seu ambiente de PKI (por exemplo, em um servidor ou equipamento on-premises), você precisará exportá-lo novamente após a renovação. 

Para ver um exemplo de solução que automatiza o processo de exportação do ACM usando Amazon e EventBridge AWS Lambda, consulte [Automatização](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export) da exportação de certificados renovados.

# Use modelos CA Privada da AWS de certificado
<a name="UsingTemplates"></a>

CA privada da AWS usa modelos de configuração para emitir certificados CA e certificados de entidade final. Quando você emite um certificado de CA do console do PCA, o modelo de certificado de CA raiz ou subordinado apropriado é aplicado automaticamente. 

Se você usar a CLI ou a API para emitir um certificado, poderá fornecer um ARN de modelo como parâmetro para a ação `IssueCertificate`. Se você não fornecer um ARN, o modelo `EndEntityCertificate/V1` será aplicado por padrão. Para obter mais informações, consulte a documentação do comando [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API e [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html).

**nota**  
AWS Certificate Manager Usuários (ACM) com acesso compartilhado entre contas a uma CA privada podem emitir certificados gerenciados assinados pela CA. Emissores entre contas estão limitados por uma política baseada em recursos e têm acesso somente aos seguintes modelos de certificado de entidade final:  
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[Subordinado CACertificate \$1 PathLen 0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
Para obter mais informações, consulte [Políticas baseadas em recursos](pca-rbp.md).

**Topics**
+ [CA Privada da AWS variedades de modelos](template-varieties.md)
+ [CA Privada da AWS modelo de ordem de operações](template-order-of-operations.md)
+ [CA Privada da AWS definições de modelo](template-definitions.md)

# CA Privada da AWS variedades de modelos
<a name="template-varieties"></a>

CA privada da AWS suporta quatro variedades de modelos.
+ **Modelos base**

  Modelos predefinidos nos quais nenhum parâmetro de passagem é permitido.
+ **CSRPassthrough modelos**

  Modelos que estendem suas versões de modelo base correspondentes, permitindo a passagem da CSR. As extensões na CSR que é usada para emitir o certificado são copiadas para o certificado emitido. Nos casos em que a CSR contém valores de extensão em conflito com a definição do modelo, esta sempre tem a prioridade mais alta. Para obter mais detalhes sobre prioridade, consulte [CA Privada da AWS modelo de ordem de operaçõesOrden de operações dos modelos](template-order-of-operations.md).
+ **APIPassthrough modelos**

  Modelos que estendem suas versões de modelo base correspondentes, permitindo a passagem da API. Valores dinâmicos conhecidos pelo administrador ou por outros sistemas intermediários podem não ser conhecidos pela entidade que solicita o certificado, podem ser impossíveis de definir em um modelo e talvez não estejam disponíveis na CSR. Porém, o administrador da CA pode recuperar informações adicionais de outra fonte de dados, como um Active Directory, para concluir a solicitação. Por exemplo, se uma máquina não souber a qual unidade organizacional ela pertence, o administrador poderá pesquisar as informações no Active Directory e adicioná-las à solicitação de certificado, incluindo as informações em uma estrutura JSON.

  Os valores no parâmetro `ApiPassthrough` da ação `IssueCertificate` ``são copiados para o certificado emitido. Nos casos em que o parâmetro `ApiPassthrough` contém informações em conflito com a definição do modelo, esta sempre tem a prioridade mais alta. Para obter mais detalhes sobre prioridade, consulte [CA Privada da AWS modelo de ordem de operaçõesOrden de operações dos modelos](template-order-of-operations.md). 
+ **APICSRPassthrough modelos**

  Modelos que estendem suas versões de modelo base correspondentes, permitindo a passagem da API e da CSR. As extensões na CSR usadas para emitir o certificado são copiadas para o certificado emitido, e os valores no parâmetro `ApiPassthrough` da ação `IssueCertificate` também são copiados. Nos casos em que a definição de modelo, os valores de passagem da API e as extensões de passagem da CSR exibem conflito, a definição de modelo tem a prioridade mais alta, seguida pelos valores de passagem da API e depois pelas extensões de passagem da CSR. Para obter mais detalhes sobre prioridade, consulte [CA Privada da AWS modelo de ordem de operaçõesOrden de operações dos modelos](template-order-of-operations.md).

As tabelas abaixo listam todos os tipos de modelos compatíveis CA privada da AWS com links para suas definições.

**nota**  
Para obter informações sobre o modelo ARNs em GovCloud regiões, consulte [Autoridade de Certificação Privada da AWS](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)o *Guia AWS GovCloud (US) do usuário*.


**Modelos base**  

|  Nome do modelo  |  ARN do modelo  |  Tipo de certificado  | 
| --- | --- | --- | 
|  [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate/V1`  |  Assinatura de código  | 
|  [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)  |  `arn:aws:acm-pca:::template/EndEntityCertificate/V1`  |  Entidade final  | 
|  [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1`  |  Entidade final  | 
|  [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)  |  `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1`  |  Entidade final  | 
|  [OCSPSigningCertificado/V1](template-definitions.md#OCSPSigningCertificate-V1)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1`  |  Assinatura OCSP  | 
|  [Raiz CACertificate /V1](template-definitions.md#RootCACertificate-V1)  |  `arn:aws:acm-pca:::template/RootCACertificate/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen 0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen 1/V1](template-definitions.md#SubordinateCACertificate_PathLen1-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen 2/V1](template-definitions.md#SubordinateCACertificate_PathLen2-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen 3/V1](template-definitions.md#SubordinateCACertificate_PathLen3-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1`  |  CA  | 


**CSRPassthrough modelos**  

|  Nome do modelo  |  ARN do modelo  |  Tipo de certificado  | 
| --- | --- | --- | 
|  [BlankEndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1`  | Entidade final | 
|  [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1`  |  Entidade final  | 
|  [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1`  |  CA  | 
|  [CodeSigningCertificate\$1 CSRPassthrough /V1](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1`  |  Assinatura de código  | 
|  [EndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1`  |  Entidade final  | 
|  [EndEntityClientAuthCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1`  |  Entidade final  | 
|  [EndEntityServerAuthCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1`  | Entidade final | 
|  [OCSPSigningCertificado\$1 CSRPassthrough /V1](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1`  |  Assinatura OCSP  | 
|  [Subordinado CACertificate \$1 PathLen CSRPassthrough 0\$1 /V1](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1`  | CA | 
|  [Subordinado CACertificate \$1 PathLen 1\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen CSRPassthrough 2\$1 /V1](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen CSRPassthrough 3\$1 /V1](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1`  |  CA  | 


**APIPassthrough modelos**  

|  Nome do modelo  |  ARN do modelo  |  Tipo de certificado  | 
| --- | --- | --- | 
|  [BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1`  |  Entidade final  | 
|  [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1`  |  Entidade final  | 
|  [CodeSigningCertificate\$1 APIPassthrough /V1](template-definitions.md#CodeSigningCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1`  |  Assinatura de código  | 
|  [EndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1`  |  Entidade final  | 
|  [EndEntityClientAuthCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1`  |  Entidade final  | 
|  [EndEntityServerAuthCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1`  |  Entidade final  | 
|  [OCSPSigningCertificado\$1 APIPassthrough /V1](template-definitions.md#OCSPSigningCertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1`  |  Assinatura OCSP  | 
|  [Raiz CACertificate \$1 APIPassthrough /V1](template-definitions.md#RootCACertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 PathLen 0\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1`  |  CA  | 
|  [BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen APIPassthrough 0\$1 /V1](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen 1\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen APIPassthrough 2\$1 /V1](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen APIPassthrough 3\$1 /V1](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1`  |  CA  | 


**APICSRPassthrough modelos**  

|  Nome do modelo  |  ARN do modelo  |  Tipo de certificado  | 
| --- | --- | --- | 
|  [BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1`  |  Entidade final  | 
|  |  |  | 
|  [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1`  | Entidade final | 
|  [CodeSigningCertificate\$1 APICSRPassthrough /V1](template-definitions.md#CodeSigningCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1`  |  Assinatura de código  | 
|  [EndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1`  |  Entidade final  | 
|  [EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1`  |  Entidade final  | 
|  [EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough)  | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 |  Entidade final  | 
|  [OCSPSigningCertificado\$1 APICSRPassthrough /V1](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1`  |  Assinatura OCSP  | 
|  [Subordinado CACertificate \$1 PathLen APICSRPassthrough 0\$1 /V1](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen 1\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen 2\$1APICSRPassthrough/3\$1 V1 PathLen APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1`  |  CA  | 
|  [Subordinado CACertificate \$1 PathLen APICSRPassthrough 3\$1 /V1](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1`  |  CA  | 
|  [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough)  |  `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1`  |  CA  | 

# CA Privada da AWS modelo de ordem de operações
<a name="template-order-of-operations"></a>

As informações contidas em um certificado emitido podem ser provenientes de quatro fontes: definição de modelo, passagem de API, passagem de CSR e configuração da CA.

Os valores de passagem de API apenas são respeitados quando você usa um modelo de passagem de API ou de passagem de APICSR. A passagem CSR só é respeitada quando você usa um modelo de passagem CSRPassthrough ou APICSR. Quando essas fontes de informação estão em conflito, uma regra geral geralmente é aplicável: para cada valor de extensão, a definição de modelo tem a prioridade mais alta, seguida por valores de passagem de API e depois por extensões de passagem de CSR.

**Exemplos**

1. A definição do modelo para [EndEntityClientAuthCertificate\$1 APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) define a ExtendedKeyUsage extensão com um valor de “Autenticação de servidor web TLS, autenticação de cliente web TLS”. Se ExtendedKeyUsage for definido na CSR ou no `IssueCertificate` `ApiPassthrough` parâmetro, o `ApiPassthrough` valor para ExtendedKeyUsage será ignorado porque a definição do modelo tem prioridade, e o valor CSR para o ExtendedKeyUsage valor será ignorado porque o modelo não é uma variedade de passagem de CSR.
**nota**  
Mesmo assim, a definição de modelo copia outros valores da CSR, como o requerente e o nome alternativo do requerente. Esses valores ainda são retirados da CSR, mesmo que o modelo não seja uma variedade de passagem da CSR, pois a definição de modelo sempre tem a prioridade mais alta.

1. A definição do modelo para [EndEntityClientAuthCertificate\$1 APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) define a extensão Subject Alternative Name (SAN) como sendo copiada da API ou CSR. Se a extensão de SAN for definida na CSR e fornecida no parâmetro `IssueCertificate`` ApiPassthrough`, o valor de passagem de API terá prioridade, pois estes têm prioridade sobre valores de passagem de CSR.

# CA Privada da AWS definições de modelo
<a name="template-definitions"></a>

As seções a seguir fornecem detalhes de configuração sobre os modelos de certificado do CA privada da AWS com suporte. 

## BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1
<a name="BlankEndEntityCertificate_APIPassthrough"></a>

Com modelos de certificado de entidade final em branco, você pode emitir certificados de entidade final com apenas restrições básica X.509 presentes. Esse é o certificado de entidade final mais simples que CA privada da AWS pode ser emitido, mas pode ser personalizado usando a estrutura da API. A extensão de restrições básicas define se o certificado é ou não um certificado de CA. Um modelo de certificado de entidade final em branco impõe um valor de FALSE a restrições básicas, para garantir que um certificado de entidade final seja emitido, e não um certificado de CA.

Você pode usar modelos de passagem em branco para emitir certificados de cartão inteligente que exigem valores específicos para uso da chave (KU) e uso estendido da chave (EKU). Por exemplo, Uso estendido de chave pode exigir Autenticação de cliente e Login com cartão inteligente, enquanto Uso de chave pode exigir Assinatura digital, Não repúdio e Codificação da chave. Diferentemente de outros modelos de passagem, os modelos de certificado de entidade final em branco permitem a configuração de extensões KU e EKU, onde KU pode ser qualquer um dos nove valores suportados (DigitalSignature, NonRepudiation, KeyEncipherment, DataEncipherment, KeyAgreement,, c, enCipherOnly e DecipherOnly) e EKU pode ser qualquer um dos valores suportados (ServerAuth keyCertSign, ClientAuthRLSign, codesign, EmailOnly) Proteção, registro de data e hora e), além de extensões personalizadas. OCSPSigning


**BlankEndEntityCertificate\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  CA:FALSE  | 
|  Identificador de chave da autoridade  | [SKI do certificado CA] | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

## BlankEndEntityCertificateDefinição de \$1 APICSRPassthrough /V1
<a name="BlankEndEntityCertificate_APICSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 APICSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  CA:FALSE  | 
|  Identificador de chave da autoridade  | [SKI do certificado CA] | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

## BlankEndEntityCertificateDefinição de \$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1
<a name="BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítico, CA:FALSE  | 
|  Identificador de chave da autoridade  | [SKI do certificado CA] | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagegem da configuração de CA, API ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankEndEntityCertificateDefinição de \$1 CriticalBasicConstraints \$1 APIPassthrough /V1
<a name="BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítico, CA:FALSE  | 
|  Identificador de chave da autoridade  | [SKI do certificado CA] | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagegem da configuração de CA ou API]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankEndEntityCertificateDefinição de \$1 CriticalBasicConstraints \$1 CSRPassthrough /V1
<a name="BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítico, CA:FALSE  | 
|  Identificador de chave da autoridade  | [SKI do certificado CA] | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankEndEntityCertificateDefinição de \$1 CSRPassthrough /V1
<a name="BlankEndEntityCertificate_CSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankEndEntityCertificate\$1 CSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  CA:FALSE  | 
|  Identificador de chave da autoridade  | [SKI do certificado CA] | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen0_CSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 0`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen0_APICSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 0`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen0_APIPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 0`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen1_APIPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 1`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen1_CSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 1`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen1_APICSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 1`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen2_APIPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 2`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen2_CSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 2`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen2_APICSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 2`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen3_APIPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 3`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen3_CSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 3`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1definição
<a name="BlankSubordinateCACertificate_PathLen3_APICSRPassthrough"></a>

Para obter informações gerais sobre modelos em branco, consulte [BlankEndEntityCertificateDefinição de \$1 APIPassthrough /V1](#BlankEndEntityCertificate_APIPassthrough).


**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 3`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### CodeSigningCertificateDefinição de /V1
<a name="CodeSigningCertificate-V1"></a>

Esse modelo é usado para criar certificados para assinatura de código. Você pode usar certificados de assinatura de código CA privada da AWS com qualquer solução de assinatura de código baseada em uma infraestrutura de CA privada. Por exemplo, clientes que usam o Code Signing for AWS IoT podem gerar um certificado de assinatura de código com CA privada da AWS e importá-lo para. AWS Certificate Manager Para obter mais informações, consulte Para [que serve a assinatura de código AWS IoT?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) e [obtenha e importe um certificado de assinatura de código](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html).


**CodeSigningCertificate/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  `CA:FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital  | 
|  Uso estendido de chave  |  Crítica, assinatura de código  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### CodeSigningCertificateDefinição de \$1 APICSRPassthrough /V1
<a name="CodeSigningCertificate_APICSRPassthrough"></a>

Esse modelo estende CodeSigningCertificate /V1 para oferecer suporte a valores de passagem de API e CSR.


**CodeSigningCertificate\$1 APICSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  `CA:FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital  | 
|  Uso estendido de chave  |  Crítica, assinatura de código  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### CodeSigningCertificateDefinição de \$1 APIPassthrough /V1
<a name="CodeSigningCertificate_APIPassthrough"></a>

Esse modelo é idêntico ao `CodeSigningCertificate` modelo, com uma diferença: nesse modelo, CA privada da AWS passa extensões adicionais por meio da API para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na API.


**CodeSigningCertificate\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  `CA:FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital  | 
|  Uso estendido de chave  |  Crítica, assinatura de código  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### CodeSigningCertificateDefinição de \$1 CSRPassthrough /V1
<a name="CodeSigningCertificate_CSRPassthrough-V1"></a>

Esse modelo é idêntico ao `CodeSigningCertificate` modelo, com uma diferença: nesse modelo, CA privada da AWS passa extensões adicionais da solicitação de assinatura de certificado (CSR) para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na CSR.


**CodeSigningCertificate\$1 CSRPassthrough /V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  `CA:FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital  | 
|  Uso estendido de chave  |  Crítica, assinatura de código  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityCertificateDefinição de /V1
<a name="EndEntityCertificate-V1"></a>

Este modelo é usado para criar certificados para entidades finais, como sistemas operacionais ou servidores Web. 


**EndEntityCertificate/V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de servidor Web TLS, autenticação de cliente Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityCertificateDefinição de \$1 APICSRPassthrough /V1
<a name="EndEntityCertificate_APICSRPassthrough"></a>

Esse modelo estende EndEntityCertificate /V1 para oferecer suporte a valores de passagem de API e CSR.


**EndEntityCertificate\$1 APICSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de servidor Web TLS, autenticação de cliente Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityCertificateDefinição de \$1 APIPassthrough /V1
<a name="EndEntityCertificate_APIPassthrough"></a>

Esse modelo é idêntico ao `EndEntityCertificate` modelo, com uma diferença: nesse modelo, CA privada da AWS passa extensões adicionais por meio da API para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na API.


**EndEntityCertificate\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de servidor Web TLS, autenticação de cliente Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityCertificateDefinição de \$1 CSRPassthrough /V1
<a name="EndEntityCertificate_CSRPassthrough-V1"></a>

Esse modelo é idêntico ao `EndEntityCertificate` modelo, com uma diferença: nesse modelo, CA privada da AWS passa extensões adicionais da solicitação de assinatura de certificado (CSR) para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na CSR.


**EndEntityCertificate\$1 CSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de servidor Web TLS, autenticação de cliente Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityClientAuthCertificateDefinição de /V1
<a name="EndEntityClientAuthCertificate-V1"></a>

Este modelo difere do `EndEntityCertificate` apenas no valor de uso de chave estendida, que o restringe à autenticação de cliente Web TLS.


**EndEntityClientAuthCertificate/V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de cliente Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityClientAuthCertificateDefinição de \$1 APICSRPassthrough /V1
<a name="EndEntityClientAuthCertificate_APICSRPassthrough"></a>

Esse modelo estende EndEntityClientAuthCertificate /V1 para oferecer suporte a valores de passagem de API e CSR.


**EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de cliente Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityClientAuthCertificateDefinição de \$1 APIPassthrough /V1
<a name="EndEntityClientAuthCertificate_APIPassthrough"></a>

Este modelo é idêntico ao modelo `EndEntityClientAuthCertificate` com uma diferença. Nesse modelo, CA privada da AWS transmite extensões adicionais por meio da API para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na API.


**EndEntityClientAuthCertificate\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de cliente Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityClientAuthCertificateDefinição de \$1 CSRPassthrough /V1
<a name="EndEntityClientAuthCertificate_CSRPassthrough-V1"></a>

Este modelo é idêntico ao modelo `EndEntityClientAuthCertificate` com uma diferença. Neste modelo, CA privada da AWS transmite extensões adicionais da solicitação de assinatura de certificado (CSR) para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na CSR.


**EndEntityClientAuthCertificate\$1 CSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
| Uso da chave |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de cliente Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityServerAuthCertificateDefinição de /V1
<a name="EndEntityServerAuthCertificate-V1"></a>

Este modelo difere do `EndEntityCertificate` apenas no valor de uso de chave estendida, que o restringe à autenticação do servidor Web TLS.


**EndEntityServerAuthCertificate/V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de servidor Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityServerAuthCertificateDefinição de \$1 APICSRPassthrough /V1
<a name="EndEntityServerAuthCertificate_APICSRPassthrough"></a>

Esse modelo estende EndEntityServerAuthCertificate /V1 para oferecer suporte a valores de passagem de API e CSR.


**EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de servidor Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityServerAuthCertificateDefinição de \$1 APIPassthrough /V1
<a name="EndEntityServerAuthCertificate_APIPassthrough"></a>

Este modelo é idêntico ao modelo `EndEntityServerAuthCertificate` com uma diferença. Nesse modelo, CA privada da AWS transmite extensões adicionais por meio da API para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na API.


**EndEntityServerAuthCertificate\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de servidor Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### EndEntityServerAuthCertificateDefinição de \$1 CSRPassthrough /V1
<a name="EndEntityServerAuthCertificate_CSRPassthrough-V1"></a>

Este modelo é idêntico ao modelo `EndEntityServerAuthCertificate` com uma diferença. Neste modelo, CA privada da AWS transmite extensões adicionais da solicitação de assinatura de certificado (CSR) para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na CSR.


**EndEntityServerAuthCertificate\$1 CSRPassthrough /V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  CA:`FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, criptografia de chave  | 
|  Uso estendido de chave  |  Autenticação de servidor Web TLS  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### OCSPSigningDefinição de certificado/V1
<a name="OCSPSigningCertificate-V1"></a>

Este modelo é usado para criar certificados para assinar respostas OCSP. O modelo é idêntico ao modelo `CodeSigningCertificate`, exceto que o valor de uso de chave estendida especifica a assinatura OCSP em vez da assinatura de código.


**OCSPSigningCertificado/V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  `CA:FALSE`  | 
| Identificador de chave da autoridade |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  | Crítica, assinatura digital | 
|  Uso estendido de chave  |  Crítica, assinatura OCSP  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### OCSPSigningDefinição de certificado\$1 APICSRPassthrough /V1
<a name="OCSPSigningCertificate_APICSRPassthrough"></a>

Esse modelo estende o OCSPSigning Certificado/V1 para oferecer suporte aos valores de passagem de API e CSR.


**OCSPSigningCertificado\$1 APICSRPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  `CA:FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  | Crítica, assinatura digital | 
|  Uso estendido de chave  |  Crítica, assinatura OCSP  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### OCSPSigningDefinição de certificado\$1 APIPassthrough /V1
<a name="OCSPSigningCertificate_APIPassthrough"></a>

Este modelo é idêntico ao modelo `OCSPSigningCertificate` com uma diferença. Nesse modelo, CA privada da AWS transmite extensões adicionais por meio da API para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na API.


**OCSPSigningCertificado\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  `CA:FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  | Crítica, assinatura digital | 
|  Uso estendido de chave  |  Crítica, assinatura OCSP  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### OCSPSigningDefinição de certificado\$1 CSRPassthrough /V1
<a name="OCSPSigningCertificate_CSRPassthrough-V1"></a>

Este modelo é idêntico ao modelo `OCSPSigningCertificate` com uma diferença. Neste modelo, CA privada da AWS transmite extensões adicionais da solicitação de assinatura de certificado (CSR) para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na CSR.


**OCSPSigningCertificado\$1 CSRPassthrough /V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  `CA:FALSE`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  | Crítica, assinatura digital | 
|  Uso estendido de chave  |  Crítica, assinatura OCSP  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### Definição de raiz CACertificate /V1
<a name="RootCACertificate-V1"></a>

Esse modelo é usado para emitir certificados CA raiz autoassinados. Os certificados CA incluem uma extensão de restrições básicas críticas com o campo CA definido como `TRUE` para designar que o certificado pode ser utilizado para emitir certificados CA. O modelo não especifica um comprimento de caminho ([pathLenConstraint](PcaTerms.md#terms-pathlength)) porque isso pode inibir a expansão futura da hierarquia. O uso estendido de chave é excluído para impedir o uso do certificado CA como um certificado de cliente ou de servidor TLS. Nenhuma informação de CRL é especificada porque um certificado autoassinado não pode ser revogado.


**Raiz CACertificate /V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Assinatura digital crítica keyCertSign, sinal CRL  | 
|  Pontos de distribuição de CRL  |  N/D  | 

### Definição de raiz CACertificate \$1 APIPassthrough /V1
<a name="RootCACertificate_APIPassthrough"></a>

Esse modelo estende Root CACertificate /V1 para oferecer suporte aos valores de passagem da API.


**Raiz CACertificate \$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`  | 
|  Identificador de chave da autoridade  |  [Passagem de API]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Assinatura digital crítica keyCertSign, sinal CRL  | 
|  Pontos de distribuição de CRL\$1  |  N/D  | 

### BlankRootCACertificateDefinição de \$1 APIPassthrough /V1
<a name="BlankRootCACertificate_APIPassthrough"></a>

Com modelos de certificado raiz em branco, você pode emitir certificados raiz com apenas restrições básicas X.509 presentes. Esse é o certificado raiz mais simples que CA privada da AWS pode ser emitido, mas pode ser personalizado usando a estrutura da API. A extensão de restrições básicas define se o certificado é ou não um certificado CA. Um modelo de certificado raiz em branco impõe um valor de `TRUE` quatro restrições básicas para garantir que um certificado CA raiz seja emitido.

Você pode usar modelos raiz de passagem em branco para emitir certificados raiz que exigem valores específicos para o uso da chave (KU). Por exemplo, o uso da chave pode exigir `keyCertSign` e`cRLSign`, mas não`digitalSignature`. Diferentemente do outro modelo de certificado de passagem raiz que não está em branco, os modelos de certificado raiz em branco permitem a configuração da extensão KU, em que KU pode ser qualquer um dos nove valores suportados (`digitalSignature``nonRepudiation`,`keyEncipherment`,`dataEncipherment`,`keyAgreement`,`keyCertSign`, `cRLSign``encipherOnly`, e`decipherOnly`). 


**BlankRootCACertificate\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 

### BlankRootCACertificate\$1 PathLen 0\$1 APIPassthrough /V1 definição
<a name="BlankRootCACertificate_PathLen0_APIPassthrough"></a>

Para obter informações gerais sobre modelos de CA raiz em branco, consulte[BlankRootCACertificateDefinição de \$1 APIPassthrough /V1](#BlankRootCACertificate_APIPassthrough).


**BlankRootCACertificate\$1 PathLen 0\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 0`  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 

### BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1 definição
<a name="BlankRootCACertificate_PathLen1_APIPassthrough"></a>

Para obter informações gerais sobre modelos de CA raiz em branco, consulte[BlankRootCACertificateDefinição de \$1 APIPassthrough /V1](#BlankRootCACertificate_APIPassthrough).


**BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 1`  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 

### BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1 definição
<a name="BlankRootCACertificate_PathLen2_APIPassthrough"></a>

Para obter informações gerais sobre modelos de CA raiz em branco, consulte[BlankRootCACertificateDefinição de \$1 APIPassthrough /V1](#BlankRootCACertificate_APIPassthrough).


**BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 2`  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 

### BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1 definição
<a name="BlankRootCACertificate_PathLen3_APIPassthrough"></a>

Para obter informações gerais sobre modelos de CA raiz em branco, consulte[BlankRootCACertificateDefinição de \$1 APIPassthrough /V1](#BlankRootCACertificate_APIPassthrough).


**BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 3`  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 

### Definição de subordinado CACertificate \$1 PathLen 0/V1
<a name="SubordinateCACertificate_PathLen0-V1"></a>

Esse modelo é usado para emitir certificados CA subordinados com um comprimento de caminho de`0`. Os certificados CA incluem uma extensão de restrições básicas críticas com o campo CA definido como `TRUE` para designar que o certificado pode ser utilizado para emitir certificados CA. O uso estendido da chave não está incluído, o que impede que o certificado CA seja usado como um certificado de cliente ou de servidor TLS.

Para obter mais informações sobre caminhos de certificação, consulte [Configurar restrições de comprimento no caminho de certificação](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Subordinado CACertificate \$1 PathLen 0/V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 0`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

\$1Os pontos de distribuição de CRL são incluídos nos certificados emitidos com esse modelo somente se a CA estiver configurada com a geração de CRL ativada.

### Definição de subordinado CACertificate \$1 PathLen 0\$1 APICSRPassthrough /V1
<a name="SubordinateCACertificate_PathLen0_APICSRPassthrough"></a>

Esse modelo estende Subordinate CACertificate \$1 PathLen 0/V1 para suportar valores de passagem de API e CSR.


**Subordinado CACertificate \$1 PathLen APICSRPassthrough 0\$1 /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 0`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### Definição de subordinado CACertificate \$1 PathLen 0\$1 APIPassthrough /V1
<a name="SubordinateCACertificate_PathLen0_APIPassthrough"></a>

Esse modelo estende Subordinate CACertificate \$1 PathLen 0/V1 para oferecer suporte aos valores de passagem da API.


**Subordinado CACertificate \$1 PathLen APIPassthrough 0\$1 /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 0`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### Definição de subordinado CACertificate \$1 PathLen 0\$1 CSRPassthrough /V1
<a name="SubordinateCACertificate_PathLen0_CSRPassthrough-V1"></a>

Esse modelo é idêntico ao `SubordinateCACertificate_PathLen0` modelo, com uma diferença: nesse modelo, CA privada da AWS passa extensões adicionais da solicitação de assinatura de certificado (CSR) para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na CSR.

**nota**  
Um CSR que contém extensões adicionais personalizadas deve ser criado fora do CA privada da AWS.


**Subordinado CACertificate \$1 PathLen CSRPassthrough 0\$1 /V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 0`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição da CRL serão incluídos nos certificados emitidos com este modelo apenas se a CA estiver configurada com a geração de CRL habilitada.

### Definição de subordinado CACertificate \$1 PathLen 1/V1
<a name="SubordinateCACertificate_PathLen1-V1"></a>

Esse modelo é usado para emitir certificados CA subordinados com um comprimento de caminho de`1`. Os certificados CA incluem uma extensão de restrições básicas críticas com o campo CA definido como `TRUE` para designar que o certificado pode ser utilizado para emitir certificados CA. O uso estendido da chave não está incluído, o que impede que o certificado CA seja usado como um certificado de cliente ou de servidor TLS.

Para obter mais informações sobre caminhos de certificação, consulte [Configurar restrições de comprimento no caminho de certificação](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Subordinado CACertificate \$1 PathLen 1/V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 1`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

\$1Os pontos de distribuição da CRL serão incluídos nos certificados emitidos com este modelo apenas se a CA estiver configurada com a geração de CRL habilitada.

### Definição de subordinado CACertificate \$1 PathLen 1\$1 APICSRPassthrough /V1
<a name="SubordinateCACertificate_PathLen1_APICSRPassthrough"></a>

Esse modelo estende Subordinate CACertificate \$1 PathLen 1/V1 para suportar valores de passagem de API e CSR.


**Subordinado CACertificate \$1 PathLen 1\$1 /V1 APICSRPassthrough**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 1`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### Definição de subordinado CACertificate \$1 PathLen 1\$1 APIPassthrough /V1
<a name="SubordinateCACertificate_PathLen1_APIPassthrough"></a>

Esse modelo estende Subordinate CACertificate \$1 PathLen 0/V1 para oferecer suporte aos valores de passagem da API.


**Subordinado CACertificate \$1 PathLen 1\$1 /V1 APIPassthrough**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 1`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### Definição de subordinado CACertificate \$1 PathLen 1\$1 CSRPassthrough /V1
<a name="SubordinateCACertificate_PathLen1_CSRPassthrough-V1"></a>

Esse modelo é idêntico ao `SubordinateCACertificate_PathLen1` modelo, com uma diferença: nesse modelo, CA privada da AWS passa extensões adicionais da solicitação de assinatura de certificado (CSR) para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na CSR.

**nota**  
Um CSR que contém extensões adicionais personalizadas deve ser criado fora do CA privada da AWS.


**Subordinado CACertificate \$1 PathLen 1\$1 /V1 CSRPassthrough**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 1`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição da CRL serão incluídos nos certificados emitidos com este modelo apenas se a CA estiver configurada com a geração de CRL habilitada.

### Definição de Subordinate CACertificate \$1 PathLen 2/V1
<a name="SubordinateCACertificate_PathLen2-V1"></a>

Esse modelo é usado para emitir certificados CA subordinados com um comprimento de caminho igual a 2. Os certificados CA incluem uma extensão de restrições básicas críticas com o campo CA definido como `TRUE` para designar que o certificado pode ser utilizado para emitir certificados CA. O uso estendido da chave não está incluído, o que impede que o certificado CA seja usado como um certificado de cliente ou de servidor TLS.

Para obter mais informações sobre caminhos de certificação, consulte [Configurar restrições de comprimento no caminho de certificação](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Subordinado CACertificate \$1 PathLen 2/V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 2`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

\$1Os pontos de distribuição da CRL serão incluídos nos certificados emitidos com este modelo apenas se a CA estiver configurada com a geração de CRL habilitada.

### Definição de Subordinate CACertificate \$1 PathLen 2\$1 APICSRPassthrough /V1
<a name="SubordinateCACertificate_PathLen2_APICSRPassthrough"></a>

Esse modelo estende Subordinate CACertificate \$1 PathLen 2/V1 para suportar valores de passagem de API e CSR.


**Subordinado CACertificate \$1 PathLen APICSRPassthrough 2\$1 /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 2`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### Definição de Subordinate CACertificate \$1 PathLen 2\$1 APIPassthrough /V1
<a name="SubordinateCACertificate_PathLen2_APIPassthrough"></a>

Esse modelo estende Subordinate CACertificate \$1 PathLen 2/V1 para oferecer suporte aos valores de passagem da API.


**Subordinado CACertificate \$1 PathLen APIPassthrough 2\$1 /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 2`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### Definição de Subordinate CACertificate \$1 PathLen 2\$1 CSRPassthrough /V1
<a name="SubordinateCACertificate_PathLen2_CSRPassthrough-V1"></a>

Esse modelo é idêntico ao `SubordinateCACertificate_PathLen2` modelo, com uma diferença: nesse modelo, CA privada da AWS passa extensões adicionais da solicitação de assinatura de certificado (CSR) para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na CSR.

**nota**  
Um CSR que contém extensões adicionais personalizadas deve ser criado fora do CA privada da AWS.


**Subordinado CACertificate \$1 PathLen CSRPassthrough 2\$1 /V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 2`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição da CRL serão incluídos nos certificados emitidos com este modelo apenas se a CA estiver configurada com a geração de CRL habilitada.

### Definição de Subordinate CACertificate \$1 PathLen 3/V1
<a name="SubordinateCACertificate_PathLen3-V1"></a>

Esse modelo é usado para emitir certificados CA subordinados com um comprimento de caminho igual a 3. Os certificados CA incluem uma extensão de restrições básicas críticas com o campo CA definido como `TRUE` para designar que o certificado pode ser utilizado para emitir certificados CA. O uso estendido da chave não está incluído, o que impede que o certificado CA seja usado como um certificado de cliente ou de servidor TLS.

Para obter mais informações sobre caminhos de certificação, consulte [Configurar restrições de comprimento no caminho de certificação](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints).


**Subordinado CACertificate \$1 PathLen 3/V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 3`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

\$1Os pontos de distribuição da CRL serão incluídos nos certificados emitidos com este modelo apenas se a CA estiver configurada com a geração de CRL habilitada.

### Definição de Subordinate CACertificate \$1 PathLen 3\$1 APICSRPassthrough /V1
<a name="SubordinateCACertificate_PathLen3_APICSRPassthrough"></a>

Esse modelo estende Subordinate CACertificate \$1 PathLen 3/V1 para suportar valores de passagem de API e CSR.


**Subordinado CACertificate \$1 PathLen APICSRPassthrough 3\$1 /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 3`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### Definição de Subordinate CACertificate \$1 PathLen 3\$1 APIPassthrough /V1
<a name="SubordinateCACertificate_PathLen3_APIPassthrough"></a>

Esse modelo estende Subordinate CACertificate \$1 PathLen 3/V1 para oferecer suporte aos valores de passagem da API.


**Subordinado CACertificate \$1 PathLen APIPassthrough 3\$1 /V1**  

|  Parâmetro X509v3  | Valor | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem de API ou CSR]  | 
|  Sujeito  |  [Passagem de API ou CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 3`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA]  | 

Os pontos de distribuição de CRL serão incluídos no modelo somente se a CA estiver configurada com a geração de CRL habilitada. 

### Definição de Subordinate CACertificate \$1 PathLen 3\$1 CSRPassthrough /V1
<a name="SubordinateCACertificate_PathLen3_CSRPassthrough-V1"></a>

Esse modelo é idêntico ao `SubordinateCACertificate_PathLen3` modelo, com uma diferença: nesse modelo, CA privada da AWS passa extensões adicionais da solicitação de assinatura de certificado (CSR) para o certificado se as extensões não estiverem especificadas no modelo. As extensões especificadas no modelo sempre substituem extensões na CSR.

**nota**  
Um CSR que contém extensões adicionais personalizadas deve ser criado fora do CA privada da AWS.


**Subordinado CACertificate \$1 PathLen CSRPassthrough 3\$1 /V1**  

|  Parâmetro X509v3  |  Valor  | 
| --- | --- | 
|  Nome alternativo do requerente  |  [Passagem da CSR]  | 
|  Sujeito  |  [Passagem da CSR]  | 
|  Restrições básicas  |  Crítica, `CA:TRUE`, `pathlen: 3`  | 
|  Identificador de chave da autoridade  |  [SKI do certificado de CA]  | 
|  Identificador de chave do requerente  |  [Derivado da CSR]  | 
|  Uso da chave  |  Crítica, assinatura digital, `keyCertSign`, sinal de CRL  | 
|  Pontos de distribuição de CRL\$1  |  [Passagem da configuração de CA ou CSR]  | 

\$1Os pontos de distribuição da CRL serão incluídos nos certificados emitidos com este modelo apenas se a CA estiver configurada com a geração de CRL habilitada.