本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 颁发和管理证书 AWS 私有 CA
创建并激活私有证书颁发机构 (CA) 并配置其访问权限后,您或您的授权用户可以颁发和管理证书。如果您尚未为 CA 设置 AWS Identity and Access Management (IAM) 策略,则可以在本指南的 “[身份和访问管理](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html)” 部分中详细了解如何配置这些策略。有关在单账户和跨账户场景中配置 CA 访问权限的信息,请参阅 [控制对私有 CA 的访问权限](granting-ca-access.md)。
**Topics**
+ [颁发私有终端实体证书](PcaIssueCert.md)
+ [检索私有证书](PcaGetCert.md)
+ [列出私有证书](PcaListCerts.md)
+ [导出私有证书及其密钥](export-in-acm.md)
+ [吊销私有证书](PcaRevokeCert.md)
+ [自动导出续订的证书](auto-export.md)
+ [使用 AWS 私有 CA 证书模板](UsingTemplates.md)
# 颁发私有终端实体证书
有了私有 CA 后,您可以向 AWS Certificate Manager (ACM) 或申请私有终端实体证书。 AWS 私有 CA下表对两项服务的功能进行了比较。
****
| 能力 | ACM | AWS 私有 CA |
| --- | --- | --- |
| 颁发终端实体证书 | ✓(使用 [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) 或控制台) | ✓(使用 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)) |
| 与负载均衡器和面向互联网的服务 AWS 关联 | ✓ | 不支持 |
| 托管证书续订 | ✓ | 通过 ACM 间接[支持](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) |
| 控制台支持 | ✓ | 不支持 |
| API 支持 | ✓ | ✓ |
| CLI 支持 | ✓ | ✓ |
AWS 私有 CA 创建证书时,它遵循指定证书类型和路径长度的模板。如果未向创建证书的 API 或 CLI 语句提供模板 ARN,则默认情况下会[EndEntityCertificate应用 /V1](template-definitions.md#EndEntityCertificate-V1) 模板。有关可用证书模板的更多信息,请参阅 [使用 AWS 私有 CA 证书模板](UsingTemplates.md)。
虽然 ACM 证书是围绕公共信任设计的,但 AWS 私有 CA 可以满足您的私有 PKI 的需求。因此,您可以使用 AWS 私有 CA API 和 CLI 以 ACM 不允许的方式配置证书。这些功能包括:
+ 创建具有任何使用者名称的证书。
+ 使用任何[支持的私有密钥算法和密钥长度](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html)。
+ 使用任何[支持的签名算法](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html)。
+ 指定私有 [CA](PcaCreateCa.html) 和私有[证书](PcaIssueCert.html)的任何有效期。
使用创建私有 TLS 证书后 AWS 私有 CA,您可以将其[导入](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) ACM 并与支持的 AWS 服务一起使用。
**注意**
使用以下步骤、使用**issue-certificate**命令或 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API 操作创建的证书不能直接导出以供外部使用 AWS。但是,您可以使用私有 CA 签署通过 ACM 颁发的证书,并且这些证书可以与其密钥一起导出。有关请求 ACM 证书的更多信息,请参阅《ACM 用户指南》**中的[请求私有证书](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html)和[导出私有证书](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
## 颁发标准证书 (AWS CLI)
您可以使用 AWS 私有 CA CLI 命令 [issue-certificate 或 API 操作[IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)来请求最终实体证书](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html)。此命令需要要用于颁发证书的私有 CA 的 Amazon 资源名称 (ARN)。您还必须使用 [OpenSSL](https://www.openssl.org/) 之类的程序生成证书签名请求(CSR)。
如果您使用 AWS 私有 CA API 或 AWS CLI 颁发私有证书,则证书处于非托管状态,这意味着您无法使用 ACM 控制台、ACM CLI 或 ACM API 来查看或导出证书,也不会自动续订证书。但是,您可以使用 PCA [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) 命令来检索证书详细信息,如果您拥有 CA,则可以创建[审计报告](PcaAuditReport.md)。
**创建证书时的注意事项**
+ 为满足 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) 要求,您提供的域名(技术术语为公用名)长度不能超过 64 个八位字节(字符),包括句点。要添加更长的域名,请在“使用者备用名称”字段中指定该名称,该字段支持长度不超过 253 个八位字节的名称。
+ 如果您使用的是 1.6.3 或更高 AWS CLI 版本,请在指定 base64 编码的输入文件`fileb://`时使用前缀,例如。 CSRs这样可以确保正确 AWS 私有 CA 解析数据。
以下 OpenSSL 命令为证书生成 CSR 和私有密钥:
```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```
您可以按如下方式检查 CSR 的内容:
```
$ openssl req -in csr.pem -text -noout
```
生成的输出应与以下简短示例类似:
```
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Big Org, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
...
aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
d3:63
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha256WithRSAEncryption
74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
....
3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
0b:53:e5:22
```
以下命令创建证书。由于未指定模板,因此默认情况下会颁发基本终端实体证书。
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--csr fileb://csr.pem \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=365,Type="DAYS"
```
将返回已颁发证书的 ARN:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
**注意**
AWS 私有 CA 收到命令后,会立即返回带有序列号的 ARN。**issue-certificate**但是,证书处理是异步进行的,仍然可能失败。如果发生这种情况,使用新 ARN 的 **get-certificate** 命令也会失败。
## 使用 APIPassthrough 模板颁发带有自定义主题名称的证书
在此示例中,颁发的证书包含自定义使用者名称元素。除了提供像中的那样的 CSR 之外[颁发标准证书 (AWS CLI)](#IssueCertCli),您还可以向**issue-certificate**命令传递两个额外的参数: APIPassthrough 模板的 ARN 和指定自定义属性及其对象标识符的 JSON 配置文件()OIDs。您不能与一起使用`CustomAttributes`。但是,您可以通过标准 OIDs 作为其`StandardAttributes`中的一部分`CustomAttributes`。下表 OIDs 列出了默认主题名称(来自 [RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) 和[全局 OID 参考数据库](https://oidref.com)的信息):
| 使用者名称 | 缩写 | 对象 ID |
| --- | --- | --- |
| countryName | c | 2.5.4.6 |
| commonName | cn | 2.5.4.3 |
| dnQualifier [可分辨名称限定符] | | 2.5.4.46 |
| generationQualifier | | 2.5.4.44 |
| givenName | | 2.5.4.42 |
| initials | | 2.5.4.43 |
| locality | l | 2.5.4.7 |
| organizationName | o | 2.5.4.10 |
| organizationalUnitName | ou | 2.5.4.11 |
| pseudonym | | 2.5.4.65 |
| serialNumber | | 2.5.4.5 |
| st [状态] | | 2.5.4.8 |
| surname | sn | 2.5.4.4 |
| 删除实例快照 | | 2.5.4.12 |
| domainComponent | dc | 0.9.2342.19200300.100.1.25 |
| userid | | 0.9.2342.19200300.100.1.1 |
示例配置文件 `api_passthrough_config.txt` 包含以下代码:
```
{
"Subject": {
"CustomAttributes": [
{
"ObjectIdentifier": "2.5.4.6",
"Value": "US"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
"Value": "BCDABCDA12341234"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
"Value": "CDABCDAB12341234"
}
]
}
}
```
使用以下命令颁发证书:
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
将返回已颁发证书的 ARN:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
按如下方式在本地检索证书:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
您可以使用 OpenSSL 检查证书的内容:
```
$ openssl x509 -in cert.pem -text -noout
```
**注意**
也可以创建一个私有 CA,将自定义属性传递给它颁发的每个证书。
## 使用 APIPassthrough 模板颁发带有自定义扩展名的证书
在此示例中,颁发的证书包含自定义扩展。为此,您需要向**issue-certificate**命令传递三个参数: APIPassthrough 模板的 ARN、指定自定义扩展的 JSON 配置文件,以及如中所示的 CSR。[颁发标准证书 (AWS CLI)](#IssueCertCli)
示例配置文件 `api_passthrough_config.txt` 包含以下代码:
```
{
"Extensions": {
"CustomExtensions": [
{
"ObjectIdentifier": "2.5.29.30",
"Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
"Critical": true
}
]
}
}
```
自定义证书的颁发方式如下:
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
将返回已颁发证书的 ARN:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
按如下方式在本地检索证书:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
您可以使用 OpenSSL 检查证书的内容:
```
$ openssl x509 -in cert.pem -text -noout
```
# 检索私有证书
您可以使用 AWS 私有 CA API 和 AWS CLI 来颁发私有证书。如果这样做,则可以使用 AWS CLI 或 AWS 私有 CA API 来检索该证书。如果您使用 ACM 创建私有 CA 并请求证书,则必须使用 ACM 导出证书和已加密的私有密钥。有关更多信息,请参阅[导出私有证书](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
**检索终端实体证书**
使用 [get-certi AWS CLI ficate 命令检索私有终端实体证书](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html)。您也可以使用 [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html)API 操作。建议使用类似 sed 的解析器 [jq](https://stedolan.github.io/jq/) 设置输出格式。
**注意**
如果要吊销证书,可以使用 **get-certificate** 命令检索十六进制格式的序列号。您还可以创建审核报告来检索十六进制序列号。有关更多信息,请参阅 [将审计报告与您的私有 CA 一起使用](PcaAuditReport.md)。
```
$ aws acm-pca get-certificate \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
jq -r '.Certificate, .CertificateChain'
```
此命令按以下标准格式输出证书和证书链。
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
**检索 CA 证书**
您可以使用 AWS 私有 CA API 和 AWS CLI 来检索私有 CA 的证书颁发机构 (CA) 证书。运行 [get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html) 命令。您还可调用 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) 操作。建议使用类似 sed 的解析器 [jq](https://stedolan.github.io/jq/) 设置输出格式。
```
$ aws acm-pca get-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
| jq -r '.Certificate'
```
此命令按以下标准格式输出 CA 证书。
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
# 列出私有证书
要列出您的私有证书,请生成审计报告,从其 S3 桶中检索该报告,然后根据需要解析报告内容。有关创建 AWS 私有 CA 审计报告的信息,请参阅 [将审计报告与您的私有 CA 一起使用](PcaAuditReport.md)。有关从 S3 桶检索对象的信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[下载对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html)。
以下示例说明了创建审计报告并对其进行解析以获取有用数据的方法。结果采用 JSON 格式,使用类似 sed 的解析器 [jq](https://stedolan.github.io/jq/) 筛选数据。
**1. 创建审计报告。**
以下命令为指定 CA 生成审计报告。
```
$ aws acm-pca create-certificate-authority-audit-report \
--region region \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON
```
如果成功,则该命令将返回新审计报告的 ID 和位置。
```
{
"AuditReportId":"audit_report_ID",
"S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```
**2. 检索审计报告并设置其格式。**
此命令检索审计报告,在标准输出中显示其内容,并筛选结果以仅显示 2020-12-01 当天或之后颁发的证书。
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json \
/dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```
返回的项目如下所示:
```
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**3. 在本地保存审计报告。**
如果要执行多个查询,可以方便地将审计报告保存到本地文件中。
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```
与以前相同的筛选条件将产生相同的输出:
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**4. 在某个日期范围内查询**
您可以查询在某个日期范围内颁发的证书,如下所示:
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```
筛选后的内容在标准输出中显示:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**5. 按照指定模板搜索证书。**
以下命令使用模板 ARN 筛选报告内容:
```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```
输出显示匹配的证书记录:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```
**6. 筛选已吊销的证书**
要找出所有已吊销的证书,请使用以下命令:
```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```
已吊销的证书显示如下:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"revokedAt": "2021-05-27T18:57:32+0000",
"revocationReason": "UNSPECIFIED",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**7. 使用正则表达式进行筛选。**
以下命令搜索包含字符串“leaf”的使用者名称:
```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```
匹配的证书记录返回如下:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.roo2.leaf4",
"notBefore": "2020-11-16T18:17:10+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-16T19:17:12+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf5",
"notBefore": "2020-12-21T21:28:09+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-12-21T22:28:09+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
# 导出私有证书及其密钥
AWS 私有 CA 无法直接导出其已签署并颁发的私有证书。但是,您可以使用导 AWS Certificate Manager 出此类证书及其加密密钥。然后该证书便可完全移植,以部署在您的私有 PKI 中的任意位置。有关更多信息,请参阅《 AWS Certificate Manager 用户指南》中的导[出私有证书](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
作为一项额外好处, AWS Certificate Manager 可以为使用 ACM 控制台、ACM API 的`RequestCertificate`操作或的 ACM 部分中的**request-certificate**命令颁发的私有证书提供托管续订。 AWS CLI有关续订的更多信息,请参阅[在私有 PKI 中续订证书](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html)。
# 吊销私有证书
您可以使用 revoke [-c AWS 私有 CA ertificate AWS CLI 命令或 API 操作吊销证书](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html)。[RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)例如,如果证书的密钥泄露或其关联的域失效,则可能需要在证书的预定到期之前将其吊销。为了使吊销生效,使用证书的客户端在尝试建立安全的网络连接时需要一种方法来检查吊销状态。
AWS 私有 CA 提供了两种完全托管的机制来支持吊销状态检查:在线证书状态协议 (OCSP) 和证书吊销列表 ()。CRLs使用 OCSP,客户端可以查询实时返回状态的权威吊销数据库。使用 CRL,客户端根据其定期下载和存储的已吊销证书列表检查证书。客户端拒绝接受已吊销的证书。
OCSP 和都 CRLs 依赖于证书中嵌入的验证信息。因此,在颁发之前,必须将颁发 CA 配置为支持其中一种或两种机制。有关通过选择和实施托管撤销的信息 AWS 私有 CA,请参阅[规划您的 AWS 私有 CA 证书吊销方法](revocation-setup.md)。
已撤销的证书始终记录在 AWS 私有 CA 审计报告中。
**注意**
对于跨账户来电者,需要拥有该`AWSRAMRevokeCertificateCertificateAuthority`权限的共享。中`AWSRAMDefaultPermissionCertificateAuthority`不包括撤销权限。要允许跨账户颁发者吊销,CA 管理员必须创建两个 RAM 共享,两者都指向同一 CA:
具有 `AWSRAMRevokeCertificateCertificateAuthority` 权限的共享。
具有 `AWSRAMDefaultPermissionCertificateAuthority` 权限的共享。
**吊销证书**
使用 [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html)API 操作或[吊销证书命令吊](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html)销私有 PKI 证书。序列号必须使用十六进制格式。您可以通过调用 [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) 命令来检索序列号。`revoke-certificate` 命令不返回响应。
```
$ aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-serial serial_number \
--revocation-reason "KEY_COMPROMISE"
```
## 已吊销的证书和 OCSP
当您吊销证书时,OCSP 响应最多可能需要 60 分钟才能反映新状态。通常,OCSP 倾向于支持更快地分发撤销信息,因为与客户端 CRLs 可以缓存数天的撤销信息不同,OCSP 响应通常不会被客户端缓存。
## CRL 中的已吊销证书
通常在吊销证书大约 30 分钟后更新 CRL。如果 CRL 更新因任何原因失败, AWS 私有 CA 则每 15 分钟再尝试一次。
借助 Amazon CloudWatch,您可以为指标创建警报,`CRLGenerated`以及`MisconfiguredCRLBucket`。有关更多信息,请参阅[支持的 CloudWatch指标](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html)。有关创建和配置的更多信息 CRLs,请参阅[为以下各项设置 CRL AWS 私有 CA](crl-planning.md)。
以下示例显示证书吊销列表 (CRL) 中的已吊销证书。
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
```
## 审核报告中的已吊销证书
包括已吊销证书在内的所有证书都包含在私有 CA 的审核报告中。以下示例显示包含一个已颁发证书和一个已吊销证书的审核报告。有关更多信息,请参阅 [将审计报告与您的私有 CA 一起使用](PcaAuditReport.md)。
```
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]
```
# 自动导出续订的证书
使用 AWS 私有 CA 创建 CA 时,可以将该 CA 导入 AWS Certificate Manager 并让 ACM 管理证书的颁发和续订。如果正在续订的证书与[集成服务](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)相关联,则该服务将无缝应用新证书。但是,如果证书最初是为了在 PKI 环境中的其他地方(例如本地服务器或设备)使用而[导出](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)的,则需要在续订后再次将其导出。
有关使用 Amazon 和 EventBridge Lambda AWS 自动执行 ACM 导出流程的示例解决方案,请参阅[自动导](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export)出续订的证书。
# 使用 AWS 私有 CA 证书模板
AWS 私有 CA 使用配置模板颁发 CA 证书和终端实体证书。从 PCA 控制台颁发 CA 证书时,会自动应用相应的根或从属 CA 证书模板。
如果使用 CLI 或 API 颁发证书,则可以提供模板 ARN 作为 `IssueCertificate` 操作的参数。如果您未提供 ARN,则默认应用 `EndEntityCertificate/V1` 模板。有关更多信息,请参阅 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API 和颁[发证书命令文档](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html)。
**注意**
AWS Certificate Manager (ACM) 对私有 CA 具有跨账户共享访问权限的用户可以颁发由 CA 签署的托管证书。跨账户颁发者受基于资源的策略的限制,只能访问以下终端实体证书模板:
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[下属 CACertificate \$1 PathLen 0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
有关更多信息,请参阅 [基于资源的策略](pca-rbp.md)。
**Topics**
+ [AWS 私有 CA 模板品种](template-varieties.md)
+ [AWS 私有 CA 模板操作顺序](template-order-of-operations.md)
+ [AWS 私有 CA 模板定义](template-definitions.md)
# AWS 私有 CA 模板品种
AWS 私有 CA 支持四种模板。
+ **基础模板**
不允许使用传递参数的预定义模板。
+ **CSRPassthrough 模板**
通过允许 CSR 传递来扩展其相应基础模板版本的模板。用于颁发证书的 CSR 中的扩展将复制到颁发的证书中。如果 CSR 包含与模板定义冲突的扩展值,则模板定义将始终具有更高的优先级。有关优先级的详细信息,请参阅 [AWS 私有 CA 模板操作顺序模板操作顺序](template-order-of-operations.md)。
+ **APIPassthrough 模板**
通过允许 API 传递来扩展其相应基础模板版本的模板。管理员或其他中间系统已知的动态值可能对请求证书的实体未知,可能无法在模板中定义,也可能在 CSR 中不可用。但是,CA 管理员可以从其他数据来源(例如 Active Directory)检索其他信息来完成请求。例如,如果一台计算机不知道自己属于哪个组织单位,则管理员可以在 Active Directory 中查找信息,然后通过在 JSON 结构中包含该信息来将其添加到证书请求中。
`IssueCertificate` 操作 `` 的 `ApiPassthrough` 参数中的值将复制到颁发的证书中。如果 `ApiPassthrough` 参数包含与模板定义冲突的信息,则模板定义将始终具有更高的优先级。有关优先级的详细信息,请参阅 [AWS 私有 CA 模板操作顺序模板操作顺序](template-order-of-operations.md)。
+ **APICSRPassthrough 模板**
通过允许 API 和 CSR 传递来扩展其相应基础模板版本的模板。用于颁发证书的 CSR 中的扩展将复制到颁发的证书中,且 `IssueCertificate` 操作的 `ApiPassthrough` 参数中的值也将复制过来。如果模板定义、API 传递值和 CSR 传递扩展存在冲突,则模板定义的优先级最高,其次是 API 传递值,最后是 CSR 传递扩展。有关优先级的详细信息,请参阅 [AWS 私有 CA 模板操作顺序模板操作顺序](template-order-of-operations.md)。
下表列出了支持的所有模板类型,并 AWS 私有 CA 附有指向其定义的链接。
**注意**
有关 GovCloud 区域模板 ARNs 的信息,请参阅*AWS GovCloud (US) 用户指南[AWS 私有证书颁发机构](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)*中的。
**基础模板**
| 模板名称 | 模板 ARN | 证书类型 |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | 代码签名 |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | 终端实体 |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | 终端实体 |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | 终端实体 |
| [OCSPSigning证书/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | OCSP 签名 |
| [root CACertificate /V1](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [下属 CACertificate \$1 PathLen 0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [下属 CACertificate \$1 PathLen 1/V1](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [下属 CACertificate \$1 PathLen 2/V1](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [下属 CACertificate \$1 PathLen 3/V1](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough 模板**
| 模板名称 | 模板 ARN | 证书类型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | 终端实体 |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | 终端实体 |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificate\$1 CSRPassthrough /V1](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | 代码签名 |
| [EndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | 终端实体 |
| [EndEntityClientAuthCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | 终端实体 |
| [EndEntityServerAuthCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | 终端实体 |
| [OCSPSigning证书\$1 /V1 CSRPassthrough](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | OCSP 签名 |
| [下属 CACertificate \$1 PathLen 0\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 1\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 2\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 3\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough 模板**
| 模板名称 | 模板 ARN | 证书类型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | 终端实体 |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | 终端实体 |
| [CodeSigningCertificate\$1 APIPassthrough /V1](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | 代码签名 |
| [EndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | 终端实体 |
| [EndEntityClientAuthCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | 终端实体 |
| [EndEntityServerAuthCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | 终端实体 |
| [OCSPSigning证书\$1 /V1 APIPassthrough](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | OCSP 签名 |
| [root CACertificate \$1 APIPassthrough /V1](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 1\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 2\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 3\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 0\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 1\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 2\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 3\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough 模板**
| 模板名称 | 模板 ARN | 证书类型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | 终端实体 |
| | | |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | 终端实体 |
| [CodeSigningCertificate\$1 APICSRPassthrough /V1](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | 代码签名 |
| [EndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | 终端实体 |
| [EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | 终端实体 |
| [EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | 终端实体 |
| [OCSPSigning证书\$1 /V1 APICSRPassthrough](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | OCSP 签名 |
| [下属 CACertificate \$1 PathLen 0\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 1\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 2\$1APICSRPassthrough/PathLen3\$1 V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 3\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS 私有 CA 模板操作顺序
颁发的证书中包含的信息可能来自四个来源:模板定义、API 传递、CSR 传递和 CA 配置。
只有在使用 API 传递或 APICSR 传递模板时,才会重视 API 传递值。只有在使用 CSRPassthrough 或 APICSR 直通模板时,才会尊重 CSR 直通。当这些信息来源发生冲突时,通常适用一般规则:对于每个扩展值,模板定义的优先级最高,其次是 API 传递值,最后是 CSR 传递扩展。
**示例**
1. [EndEntityClientAuthCertificate\$1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) 的模板定义使用值APIPassthrough为 “TLS Web 服务器身份验证、TLS Web 客户端身份验证” 的 ExtendedKeyUsage 扩展名。如果在 CSR 或`IssueCertificate``ApiPassthrough`参数中定义, ExtendedKeyUsage 则 ExtendedKeyUsage 将忽略的`ApiPassthrough`值,因为模板定义具有优先级;值的 CSR ExtendedKeyUsage 值将被忽略,因为模板不是 CSR 直通变体。
**注意**
尽管如此,模板定义还是复制了 CSR 中的其他值,例如使用者和使用者备用名称。尽管模板并非 CSR 传递种类,但这些值仍取自 CSR,因为模板定义始终具有最高优先级。
1. [EndEntityClientAuthCertificate\$1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) 的模板APICSRPassthrough定义将主题备用名称 (SAN) 扩展定义为从 API 或 CSR 中复制。如果在 CSR 中定义了 SAN 扩展并在 `IssueCertificate`` ApiPassthrough` 参数中提供,则 API 传递值将优先,因为 API 传递值优先于 CSR 传递值。
# AWS 私有 CA 模板定义
以下各节提供了有关支持的 AWS 私有 CA 证书模板的配置详细信息。
## BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义
使用空白的终端实体证书模板,您可以颁发仅存在 X.509 基本约束的终端实体证书。这是 AWS 私有 CA 可以颁发的最简单的最简单的最终实体证书,但可以使用 API 结构对其进行自定义。基本约束扩展定义该证书是否为 CA 证书。空白的终端实体证书模板将基本约束的值强制设置为 FALSE,以确保颁发的是终端实体证书,而不是 CA 证书。
您可以使用空白的直通模板来颁发需要密钥用法 (KU) 和扩展密钥用法 (EKU) 特定值的智能卡证书。例如,扩展密钥用法可能需要“客户端身份验证”和“智能卡登录”,而密钥用法可能需要“数字签名”、“不可否认”和“密钥加密”。与其他直通模板不同,空白的终端实体证书模板允许配置 KU 和 EKU 扩展,其中 KU 可以是九个支持的值(DigitalSignature、NonRepudiation、KeyenCipherment、DataEncipherMent、KeyEncipherMent、、c RLSign、encipherOnly 和 DecipherOnly),而 EKU 可以是任何支持的值(ServerAuth、ClientAuth、codesigning keyCertSign、EmailProtection),Eku 可以是任何支持的值(ServerAuth、Client、时间戳和)以及自定义扩展程序。 OCSPSigning
**BlankEndEntityCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
## BlankEndEntityCertificate\$1 APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
## BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置、API 或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 API 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankEndEntityCertificate\$1 CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate/V1 定义
使用此模板可以创建用于代码签名的证书。您可以将来自的代码签名证书 AWS 私有 CA 与任何基于私有 CA 基础架构的代码签名解决方案一起使用。例如,使用代码签名的客户 AWS IoT 可以使用生成代码签名证书 AWS 私有 CA 并将其导入到。 AWS Certificate Manager有关更多信息,请参阅[代码签名的用途 AWS IoT?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 以及[获取并导入代码签名证书](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html)。
**CodeSigningCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 CodeSigningCertificate /V1 以支持 API 和 CSR 直通值。
**CodeSigningCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate\$1 APIPassthrough /V1 的定义
此模板与`CodeSigningCertificate`模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则通过API将其他扩展 AWS 私有 CA 传递给证书。此模板中指定的扩展始终覆盖 API 中的扩展。
**CodeSigningCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate\$1 CSRPassthrough /V1 的定义
此模板与`CodeSigningCertificate`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**CodeSigningCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate/V1 定义
此模板用于为终端实体(如操作系统或 Web 服务器)创建证书。
**EndEntityCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityCertificate /V1 以支持 API 和 CSR 直通值。
**EndEntityCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate\$1 APIPassthrough /V1 的定义
此模板与`EndEntityCertificate`模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则通过API将其他扩展 AWS 私有 CA 传递给证书。此模板中指定的扩展始终覆盖 API 中的扩展。
**EndEntityCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate\$1 CSRPassthrough /V1 的定义
此模板与`EndEntityCertificate`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**EndEntityCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate/V1 定义
此模板与 `EndEntityCertificate` 仅在扩展密钥用法值上不同,此模板将值限制为 TLS Web 客户端身份验证。
**EndEntityClientAuthCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityClientAuthCertificate /V1 以支持 API 和 CSR 直通值。
**EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate\$1 APIPassthrough /V1 的定义
此模板与 `EndEntityClientAuthCertificate` 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
**EndEntityClientAuthCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate\$1 CSRPassthrough /V1 的定义
此模板与 `EndEntityClientAuthCertificate` 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**EndEntityClientAuthCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate/V1 定义
此模板与 `EndEntityCertificate` 仅在扩展密钥用法值上不同,此模板将值限制为 TLS Web 服务器身份验证。
**EndEntityServerAuthCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityServerAuthCertificate /V1 以支持 API 和 CSR 直通值。
**EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate\$1 APIPassthrough /V1 的定义
此模板与 `EndEntityServerAuthCertificate` 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
**EndEntityServerAuthCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate\$1 CSRPassthrough /V1 的定义
此模板与 `EndEntityServerAuthCertificate` 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**EndEntityServerAuthCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书/V1 定义
使用此模板可以创建用于 OCSP 响应签名的证书。此模板与 `CodeSigningCertificate` 模板相同,只是扩展密钥用法值指定 OCSP 签名而不是代码签名。
**OCSPSigning证书/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书\$1 /V1 的定义 APICSRPassthrough
此模板扩展了 OCSPSigning证书/V1 以支持 API 和 CSR 直通值。
**OCSPSigning证书\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书\$1 /V1 的定义 APIPassthrough
此模板与 `OCSPSigningCertificate` 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
**OCSPSigning证书\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书\$1 /V1 的定义 CSRPassthrough
此模板与 `OCSPSigningCertificate` 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**OCSPSigning证书\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 根 CACertificate /V1 定义
此模板用于颁发自签名根 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。模板未指定路径长度 ([pathLenConstraint](PcaTerms.md#terms-pathlength)),因为这可能会阻碍层次结构的未来扩展。排除扩展密钥用法,以防止将 CA 证书用作 TLS 客户端或服务器证书。未指定 CRL 信息,因为无法吊销自签名证书。
**root CACertificate /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE` |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | 关键签名、数字签名 keyCertSign、CRL 签名 |
| CRL 分发点 | 不适用 |
### 根 CACertificate \$1 APIPassthrough /V1 定义
此模板扩展了 Root CACertificate /V1 以支持 API 直通值。
**root CACertificate \$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE` |
| 授权密钥标识符 | [从 API 传递] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | 关键签名、数字签名 keyCertSign、CRL 签名 |
| CRL 分发点\$1 | 不适用 |
### BlankRootCACertificate\$1 APIPassthrough /V1 的定义
如果根证书模板为空,则可以在仅存在 X.509 基本限制的情况下颁发根证书。这是 AWS 私有 CA 可以颁发的最简单的根证书,但可以使用 API 结构对其进行自定义。基本约束扩展定义证书是否为 CA 证书。为确保颁发根 CA 证书,空白`TRUE`的根证书模板会强制使用基本约束的值。
您可以使用空白的直通根模板来颁发需要特定密钥用法 (KU) 值的根证书。例如,密钥的使用可能需要`keyCertSign`和`cRLSign`,但不需要`digitalSignature`。与其他非空白根直通证书模板不同,空白根证书模板允许配置 KU 扩展,其中 KU 可以是九个支持的值(`digitalSignature`、、、、、、`nonRepudiation`、`keyEncipherment`、`dataEncipherment``keyAgreement``keyCertSign``cRLSign``encipherOnly`、和`decipherOnly`)中的任何一个。
**BlankRootCACertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 0\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 1\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 2\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 3\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 使用者密钥标识符 | [派生自 CSR] |
### 下属 CACertificate \$1 PathLen 0/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书`0`。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 0/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1仅当 CA 配置为启用 CRL 生成时,才会将 CRL 分发点包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 0\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 0/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 0\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 0\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 0/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 0\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 0\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen0`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 0\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 1/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书`1`。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 1/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 1\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 1/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 1\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 1\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 0/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 1\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 1\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen1`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 1\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 2/V1 的定义
此模板用于颁发路径长度为 2 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 2/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 2\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 2/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 2\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 2\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 2/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 2\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 2\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen2`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 2\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 3/V1 的定义
此模板用于颁发路径长度为 3 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 3/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 3\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 3/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 3\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 3\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 3/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 3\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 3\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen3`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 3\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。