本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AWS 私有 CA 证书模板
AWS 私有 CA 使用配置模板颁发 CA 证书和终端实体证书。从 PCA 控制台颁发 CA 证书时,会自动应用相应的根或从属 CA 证书模板。
如果使用 CLI 或 API 颁发证书,则可以提供模板 ARN 作为 `IssueCertificate` 操作的参数。如果您未提供 ARN,则默认应用 `EndEntityCertificate/V1` 模板。有关更多信息,请参阅 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API 和颁[发证书命令文档](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html)。
**注意**
AWS Certificate Manager (ACM) 对私有 CA 具有跨账户共享访问权限的用户可以颁发由 CA 签署的托管证书。跨账户颁发者受基于资源的策略的限制,只能访问以下终端实体证书模板:
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[下属 CACertificate \$1 PathLen 0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
有关更多信息,请参阅 [基于资源的策略](pca-rbp.md)。
**Topics**
+ [AWS 私有 CA 模板品种](template-varieties.md)
+ [AWS 私有 CA 模板操作顺序](template-order-of-operations.md)
+ [AWS 私有 CA 模板定义](template-definitions.md)
# AWS 私有 CA 模板品种
AWS 私有 CA 支持四种模板。
+ **基础模板**
不允许使用传递参数的预定义模板。
+ **CSRPassthrough 模板**
通过允许 CSR 传递来扩展其相应基础模板版本的模板。用于颁发证书的 CSR 中的扩展将复制到颁发的证书中。如果 CSR 包含与模板定义冲突的扩展值,则模板定义将始终具有更高的优先级。有关优先级的详细信息,请参阅 [AWS 私有 CA 模板操作顺序模板操作顺序](template-order-of-operations.md)。
+ **APIPassthrough 模板**
通过允许 API 传递来扩展其相应基础模板版本的模板。管理员或其他中间系统已知的动态值可能对请求证书的实体未知,可能无法在模板中定义,也可能在 CSR 中不可用。但是,CA 管理员可以从其他数据来源(例如 Active Directory)检索其他信息来完成请求。例如,如果一台计算机不知道自己属于哪个组织单位,则管理员可以在 Active Directory 中查找信息,然后通过在 JSON 结构中包含该信息来将其添加到证书请求中。
`IssueCertificate` 操作 `` 的 `ApiPassthrough` 参数中的值将复制到颁发的证书中。如果 `ApiPassthrough` 参数包含与模板定义冲突的信息,则模板定义将始终具有更高的优先级。有关优先级的详细信息,请参阅 [AWS 私有 CA 模板操作顺序模板操作顺序](template-order-of-operations.md)。
+ **APICSRPassthrough 模板**
通过允许 API 和 CSR 传递来扩展其相应基础模板版本的模板。用于颁发证书的 CSR 中的扩展将复制到颁发的证书中,且 `IssueCertificate` 操作的 `ApiPassthrough` 参数中的值也将复制过来。如果模板定义、API 传递值和 CSR 传递扩展存在冲突,则模板定义的优先级最高,其次是 API 传递值,最后是 CSR 传递扩展。有关优先级的详细信息,请参阅 [AWS 私有 CA 模板操作顺序模板操作顺序](template-order-of-operations.md)。
下表列出了支持的所有模板类型,并 AWS 私有 CA 附有指向其定义的链接。
**注意**
有关 GovCloud 区域模板 ARNs 的信息,请参阅*AWS GovCloud (US) 用户指南[AWS 私有证书颁发机构](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)*中的。
**基础模板**
| 模板名称 | 模板 ARN | 证书类型 |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | 代码签名 |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | 终端实体 |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | 终端实体 |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | 终端实体 |
| [OCSPSigning证书/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | OCSP 签名 |
| [root CACertificate /V1](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [下属 CACertificate \$1 PathLen 0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [下属 CACertificate \$1 PathLen 1/V1](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [下属 CACertificate \$1 PathLen 2/V1](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [下属 CACertificate \$1 PathLen 3/V1](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough 模板**
| 模板名称 | 模板 ARN | 证书类型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | 终端实体 |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | 终端实体 |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificate\$1 CSRPassthrough /V1](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | 代码签名 |
| [EndEntityCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | 终端实体 |
| [EndEntityClientAuthCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | 终端实体 |
| [EndEntityServerAuthCertificate\$1 CSRPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | 终端实体 |
| [OCSPSigning证书\$1 /V1 CSRPassthrough](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | OCSP 签名 |
| [下属 CACertificate \$1 PathLen 0\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 1\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 2\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 3\$1 /V1 CSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough 模板**
| 模板名称 | 模板 ARN | 证书类型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | 终端实体 |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | 终端实体 |
| [CodeSigningCertificate\$1 APIPassthrough /V1](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | 代码签名 |
| [EndEntityCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | 终端实体 |
| [EndEntityClientAuthCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | 终端实体 |
| [EndEntityServerAuthCertificate\$1 APIPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | 终端实体 |
| [OCSPSigning证书\$1 /V1 APIPassthrough](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | OCSP 签名 |
| [root CACertificate \$1 APIPassthrough /V1](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 APIPassthrough /V1](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 1\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 2\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1 PathLen 3\$1 /V1 APIPassthrough](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 0\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 1\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 2\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 3\$1 /V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough 模板**
| 模板名称 | 模板 ARN | 证书类型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | 终端实体 |
| | | |
| [BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | 终端实体 |
| [CodeSigningCertificate\$1 APICSRPassthrough /V1](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | 代码签名 |
| [EndEntityCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | 终端实体 |
| [EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | 终端实体 |
| [EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | 终端实体 |
| [OCSPSigning证书\$1 /V1 APICSRPassthrough](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | OCSP 签名 |
| [下属 CACertificate \$1 PathLen 0\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 1\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 2\$1APICSRPassthrough/PathLen3\$1 V1 APIPassthrough](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [下属 CACertificate \$1 PathLen 3\$1 /V1 APICSRPassthrough](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS 私有 CA 模板操作顺序
颁发的证书中包含的信息可能来自四个来源:模板定义、API 传递、CSR 传递和 CA 配置。
只有在使用 API 传递或 APICSR 传递模板时,才会重视 API 传递值。只有在使用 CSRPassthrough 或 APICSR 直通模板时,才会尊重 CSR 直通。当这些信息来源发生冲突时,通常适用一般规则:对于每个扩展值,模板定义的优先级最高,其次是 API 传递值,最后是 CSR 传递扩展。
**示例**
1. [EndEntityClientAuthCertificate\$1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) 的模板定义使用值APIPassthrough为 “TLS Web 服务器身份验证、TLS Web 客户端身份验证” 的 ExtendedKeyUsage 扩展名。如果在 CSR 或`IssueCertificate``ApiPassthrough`参数中定义, ExtendedKeyUsage 则 ExtendedKeyUsage 将忽略的`ApiPassthrough`值,因为模板定义具有优先级;值的 CSR ExtendedKeyUsage 值将被忽略,因为模板不是 CSR 直通变体。
**注意**
尽管如此,模板定义还是复制了 CSR 中的其他值,例如使用者和使用者备用名称。尽管模板并非 CSR 传递种类,但这些值仍取自 CSR,因为模板定义始终具有最高优先级。
1. [EndEntityClientAuthCertificate\$1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) 的模板APICSRPassthrough定义将主题备用名称 (SAN) 扩展定义为从 API 或 CSR 中复制。如果在 CSR 中定义了 SAN 扩展并在 `IssueCertificate`` ApiPassthrough` 参数中提供,则 API 传递值将优先,因为 API 传递值优先于 CSR 传递值。
# AWS 私有 CA 模板定义
以下各节提供了有关支持的 AWS 私有 CA 证书模板的配置详细信息。
## BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义
使用空白的终端实体证书模板,您可以颁发仅存在 X.509 基本约束的终端实体证书。这是 AWS 私有 CA 可以颁发的最简单的最简单的最终实体证书,但可以使用 API 结构对其进行自定义。基本约束扩展定义该证书是否为 CA 证书。空白的终端实体证书模板将基本约束的值强制设置为 FALSE,以确保颁发的是终端实体证书,而不是 CA 证书。
您可以使用空白的直通模板来颁发需要密钥用法 (KU) 和扩展密钥用法 (EKU) 特定值的智能卡证书。例如,扩展密钥用法可能需要“客户端身份验证”和“智能卡登录”,而密钥用法可能需要“数字签名”、“不可否认”和“密钥加密”。与其他直通模板不同,空白的终端实体证书模板允许配置 KU 和 EKU 扩展,其中 KU 可以是九个支持的值(DigitalSignature、NonRepudiation、KeyenCipherment、DataEncipherMent、KeyEncipherMent、、c RLSign、encipherOnly 和 DecipherOnly),而 EKU 可以是任何支持的值(ServerAuth、ClientAuth、codesigning keyCertSign、EmailProtection),Eku 可以是任何支持的值(ServerAuth、Client、时间戳和)以及自定义扩展程序。 OCSPSigning
**BlankEndEntityCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
## BlankEndEntityCertificate\$1 APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
## BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置、API 或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 API 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankEndEntityCertificate\$1 CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate/V1 定义
使用此模板可以创建用于代码签名的证书。您可以将来自的代码签名证书 AWS 私有 CA 与任何基于私有 CA 基础架构的代码签名解决方案一起使用。例如,使用代码签名的客户 AWS IoT 可以使用生成代码签名证书 AWS 私有 CA 并将其导入到。 AWS Certificate Manager有关更多信息,请参阅[代码签名的用途 AWS IoT?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 以及[获取并导入代码签名证书](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html)。
**CodeSigningCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 CodeSigningCertificate /V1 以支持 API 和 CSR 直通值。
**CodeSigningCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate\$1 APIPassthrough /V1 的定义
此模板与`CodeSigningCertificate`模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则通过API将其他扩展 AWS 私有 CA 传递给证书。此模板中指定的扩展始终覆盖 API 中的扩展。
**CodeSigningCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate\$1 CSRPassthrough /V1 的定义
此模板与`CodeSigningCertificate`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**CodeSigningCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate/V1 定义
此模板用于为终端实体(如操作系统或 Web 服务器)创建证书。
**EndEntityCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityCertificate /V1 以支持 API 和 CSR 直通值。
**EndEntityCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate\$1 APIPassthrough /V1 的定义
此模板与`EndEntityCertificate`模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则通过API将其他扩展 AWS 私有 CA 传递给证书。此模板中指定的扩展始终覆盖 API 中的扩展。
**EndEntityCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate\$1 CSRPassthrough /V1 的定义
此模板与`EndEntityCertificate`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**EndEntityCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate/V1 定义
此模板与 `EndEntityCertificate` 仅在扩展密钥用法值上不同,此模板将值限制为 TLS Web 客户端身份验证。
**EndEntityClientAuthCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityClientAuthCertificate /V1 以支持 API 和 CSR 直通值。
**EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate\$1 APIPassthrough /V1 的定义
此模板与 `EndEntityClientAuthCertificate` 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
**EndEntityClientAuthCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate\$1 CSRPassthrough /V1 的定义
此模板与 `EndEntityClientAuthCertificate` 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**EndEntityClientAuthCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate/V1 定义
此模板与 `EndEntityCertificate` 仅在扩展密钥用法值上不同,此模板将值限制为 TLS Web 服务器身份验证。
**EndEntityServerAuthCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityServerAuthCertificate /V1 以支持 API 和 CSR 直通值。
**EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate\$1 APIPassthrough /V1 的定义
此模板与 `EndEntityServerAuthCertificate` 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
**EndEntityServerAuthCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate\$1 CSRPassthrough /V1 的定义
此模板与 `EndEntityServerAuthCertificate` 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**EndEntityServerAuthCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书/V1 定义
使用此模板可以创建用于 OCSP 响应签名的证书。此模板与 `CodeSigningCertificate` 模板相同,只是扩展密钥用法值指定 OCSP 签名而不是代码签名。
**OCSPSigning证书/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书\$1 /V1 的定义 APICSRPassthrough
此模板扩展了 OCSPSigning证书/V1 以支持 API 和 CSR 直通值。
**OCSPSigning证书\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书\$1 /V1 的定义 APIPassthrough
此模板与 `OCSPSigningCertificate` 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
**OCSPSigning证书\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书\$1 /V1 的定义 CSRPassthrough
此模板与 `OCSPSigningCertificate` 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**OCSPSigning证书\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 根 CACertificate /V1 定义
此模板用于颁发自签名根 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。模板未指定路径长度 ([pathLenConstraint](PcaTerms.md#terms-pathlength)),因为这可能会阻碍层次结构的未来扩展。排除扩展密钥用法,以防止将 CA 证书用作 TLS 客户端或服务器证书。未指定 CRL 信息,因为无法吊销自签名证书。
**root CACertificate /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE` |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | 关键签名、数字签名 keyCertSign、CRL 签名 |
| CRL 分发点 | 不适用 |
### 根 CACertificate \$1 APIPassthrough /V1 定义
此模板扩展了 Root CACertificate /V1 以支持 API 直通值。
**root CACertificate \$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE` |
| 授权密钥标识符 | [从 API 传递] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | 关键签名、数字签名 keyCertSign、CRL 签名 |
| CRL 分发点\$1 | 不适用 |
### BlankRootCACertificate\$1 APIPassthrough /V1 的定义
如果根证书模板为空,则可以在仅存在 X.509 基本限制的情况下颁发根证书。这是 AWS 私有 CA 可以颁发的最简单的根证书,但可以使用 API 结构对其进行自定义。基本约束扩展定义证书是否为 CA 证书。为确保颁发根 CA 证书,空白`TRUE`的根证书模板会强制使用基本约束的值。
您可以使用空白的直通根模板来颁发需要特定密钥用法 (KU) 值的根证书。例如,密钥的使用可能需要`keyCertSign`和`cRLSign`,但不需要`digitalSignature`。与其他非空白根直通证书模板不同,空白根证书模板允许配置 KU 扩展,其中 KU 可以是九个支持的值(`digitalSignature`、、、、、、`nonRepudiation`、`keyEncipherment`、`dataEncipherment``keyAgreement``keyCertSign``cRLSign``encipherOnly`、和`decipherOnly`)中的任何一个。
**BlankRootCACertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 0\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 1\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 2\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 3\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 使用者密钥标识符 | [派生自 CSR] |
### 下属 CACertificate \$1 PathLen 0/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书`0`。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 0/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1仅当 CA 配置为启用 CRL 生成时,才会将 CRL 分发点包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 0\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 0/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 0\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 0\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 0/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 0\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 0\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen0`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 0\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 1/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书`1`。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 1/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 1\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 1/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 1\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 1\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 0/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 1\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 1\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen1`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 1\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 2/V1 的定义
此模板用于颁发路径长度为 2 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 2/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 2\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 2/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 2\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 2\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 2/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 2\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 2\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen2`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 2\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 3/V1 的定义
此模板用于颁发路径长度为 3 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 3/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 3\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 3/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 3\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 3\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 3/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 3\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 3\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen3`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 3\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。