本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Private CA 模板定义
以下各节提供了有关支持的 AWS 私有 CA 证书模板的配置详细信息。
BlankEndEntityCertificate_ APIPassthrough /V1 的定义
使用空白的终端实体证书模板,您可以颁发仅存在 X.509 基本约束的终端实体证书。这是 AWS 私有 CA 可以颁发的最简单的最简单的最终实体证书,但可以使用API结构对其进行自定义。基本约束扩展定义该证书是否为 CA 证书。空白的最终实体证书模板强制使用基本约束FALSE的值为,以确保颁发的是最终实体证书,而不是 CA 证书。
您可以使用空白的直通模板来颁发需要密钥用法 (KU) 和扩展密钥用法 () 的特定值的智能卡证书。EKU例如,扩展密钥用法可能需要“客户端身份验证”和“智能卡登录”,而密钥用法可能需要“数字签名”、“不可否认”和“密钥加密”。与其他直通模板不同,空白的终端实体证书模板允许配置 KU 和EKU扩展,其中 KU 可以是九个支持的值(、、、、digitalSignature、、、、、、、、、nonRepudiationkeyEnciphermentdataEnciphermentkeyAgreement keyCertSign、和decipherOnly)中的任何一个,EKU也可以是任何支持的值(cRLSignencipherOnly、、codesigning serverAuth、、、、clientAuthemailProtection、timestamping 和OCSPSigning)以及自定义扩展名。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
CA: FALSE |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankEndEntityCertificate_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
CA: FALSE |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankEndEntityCertificate_ CriticalBasicConstraints _ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
危急,加利福尼亚州:FALSE |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通API,或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankEndEntityCertificate_ CriticalBasicConstraints _ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
危急,加利福尼亚州:FALSE |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或API] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankEndEntityCertificate_ CriticalBasicConstraints _ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
危急,加利福尼亚州:FALSE |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankEndEntityCertificate_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
CA: FALSE |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 0_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 0_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 0_ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[从 CA 配置传递] |
BlankSubordinateCACertificate_ PathLen 1_ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 1_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 1_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 2_ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 2_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 2_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 3_ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 3_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 3_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
CodeSigningCertificate/V1 的定义
使用此模板可以创建用于代码签名的证书。您可以将来自的代码签名证书 AWS 私有 CA 与任何基于私有 CA 基础架构的代码签名解决方案一起使用。例如,使用代码签名的客户 AWS IoT 可以使用生成代码签名证书 AWS 私有 CA 并将其导入到。 AWS Certificate Manager有关更多信息,请参阅代码签名的用途 AWS IoT? 以及获取并导入代码签名证书。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
|
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、code signing |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
CodeSigningCertificate_ APICSRPassthrough /V1 的定义
此模板将 CodeSigningCertificate /V1 扩展为支持值API和CSR直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
|
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、code signing |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
CodeSigningCertificate_ APIPassthrough /V1 的定义
此模板与CodeSigningCertificate模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则将其他扩展通过 AWS 私有 CA 传递API给证书。模板中指定的扩展名始终会覆盖中的扩展API。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
|
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、code signing |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
CodeSigningCertificate_ CSRPassthrough /V1 的定义
此模板与CodeSigningCertificate模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。模板中指定的扩展名始终会覆盖中的扩展CSR。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
|
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、code signing |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityCertificate/V1 的定义
此模板用于为终端实体(如操作系统或 Web 服务器)创建证书。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 服务器身份验证、TLS Web 客户端身份验证 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityCertificate_ APICSRPassthrough /V1 的定义
此模板将 EndEntityCertificate /V1 扩展为支持值API和CSR直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 服务器身份验证、TLS Web 客户端身份验证 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityCertificate_ APIPassthrough /V1 的定义
此模板与EndEntityCertificate模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则将其他扩展通过 AWS 私有 CA 传递API给证书。模板中指定的扩展名始终会覆盖中的扩展API。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 服务器身份验证、TLS Web 客户端身份验证 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityCertificate_ CSRPassthrough /V1 的定义
此模板与EndEntityCertificate模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。模板中指定的扩展名始终会覆盖中的扩展CSR。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 服务器身份验证、TLS Web 客户端身份验证 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityClientAuthCertificate/V1 的定义
此模板与EndEntityCertificate唯一模板的不同之处在于扩展密钥用法值,后者将其限制为 TLS Web 客户端身份验证。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 客户端身份验证 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityClientAuthCertificate_ APICSRPassthrough /V1 的定义
此模板将 EndEntityClientAuthCertificate /V1 扩展为支持值API和CSR直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 客户端身份验证 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityClientAuthCertificate_ APIPassthrough /V1 的定义
此模板与 EndEntityClientAuthCertificate 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则会将其他扩展通过 AWS 私有 CA 传递API到证书中。模板中指定的扩展名始终会覆盖中的扩展API。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 客户端身份验证 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityClientAuthCertificate_ CSRPassthrough /V1 的定义
此模板与 EndEntityClientAuthCertificate 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则会将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。模板中指定的扩展名始终会覆盖中的扩展CSR。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
| 密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 客户端身份验证 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityServerAuthCertificate/V1 的定义
此模板与EndEntityCertificate唯一模板的不同之处在于扩展密钥用法值,后者将其限制为 TLS Web 服务器身份验证。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 服务器身份验证 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityServerAuthCertificate_ APICSRPassthrough /V1 的定义
此模板将 EndEntityServerAuthCertificate /V1 扩展为支持值API和CSR直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 服务器身份验证 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityServerAuthCertificate_ APIPassthrough /V1 的定义
此模板与 EndEntityServerAuthCertificate 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则会将其他扩展通过 AWS 私有 CA 传递API到证书中。模板中指定的扩展名始终会覆盖中的扩展API。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 服务器身份验证 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
EndEntityServerAuthCertificate_ CSRPassthrough /V1 的定义
此模板与 EndEntityServerAuthCertificate 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则会将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。模板中指定的扩展名始终会覆盖中的扩展CSR。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLSWeb 服务器身份验证 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
OCSPSigningCertificate/V1 的定义
此模板用于创建用于签署OCSP响应的证书。该模板与CodeSigningCertificate模板相同,唯一的不同是扩展密钥用法值指定OCSP签名而不是代码签名。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
|
| 授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
关键,OCSP签名 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
OCSPSigningCertificate_ APICSRPassthrough /V1 的定义
此模板将 OCSPSigningCertificate /V1 扩展到支持值API和CSR直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
|
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
关键,OCSP签名 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
OCSPSigningCertificate_ APIPassthrough /V1 的定义
此模板与 OCSPSigningCertificate 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则会将其他扩展通过 AWS 私有 CA 传递API到证书中。模板中指定的扩展名始终会覆盖中的扩展API。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
|
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
关键,OCSP签名 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
OCSPSigningCertificate_ CSRPassthrough /V1 的定义
此模板与 OCSPSigningCertificate 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则会将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。模板中指定的扩展名始终会覆盖中的扩展CSR。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
|
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
关键,OCSP签名 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
R ootCACertificate /V1 的定义
此模板用于颁发自签名根 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。模板未指定路径长度 (pathLenConstraint),因为这可能会阻碍层次结构的未来扩展。不包括扩展密钥的使用,以防止将 CA 证书用作TLS客户端或服务器证书。由于无法吊销自签名证书,因此未指定任何CRL信息。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 keyCertSign、CRL签名 |
|
CRL分发点 |
不适用 |
R ootCACertificate _ APIPassthrough /V1 的定义
此模板扩展了 R ootCACertificate /V1 以支持API直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[直通来自API] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 keyCertSign、CRL签名 |
|
CRL分发点* |
不适用 |
BlankRootCACertificate_ APIPassthrough /V1 的定义
如果根证书模板为空,则可以在仅存在 X.509 基本限制的情况下颁发根证书。这是 AWS 私有 CA 可以颁发的最简单的根证书,但可以使用API结构对其进行自定义。基本约束扩展定义证书是否为 CA 证书。为确保颁发根 CA 证书,空白TRUE的根证书模板会强制使用基本约束的值。
您可以使用空白的直通根模板来颁发需要特定密钥用法 (KU) 值的根证书。例如,密钥的使用可能需要keyCertSign和cRLSign,但不需要digitalSignature。与其他非空白根直通证书模板不同,空白根证书模板允许配置 KU 扩展,其中 KU 可以是九个支持的值(digitalSignature、、、、、、nonRepudiation、keyEncipherment、dataEnciphermentkeyAgreementkeyCertSigncRLSignencipherOnly、和decipherOnly)中的任何一个。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[源自CSR] |
BlankRootCACertificate_ PathLen 0_ APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅BlankRootCACertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[源自CSR] |
BlankRootCACertificate_ PathLen 1_ APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅BlankRootCACertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[源自CSR] |
BlankRootCACertificate_ PathLen 2_ APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅BlankRootCACertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[源自CSR] |
BlankRootCACertificate_ PathLen 3_ APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅BlankRootCACertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[源自CSR] |
S ubordinateCACertificate _ PathLen 0/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书0。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,这会阻止 CA 证书用作TLS客户端或服务器证书。
有关认证路径的更多信息,请参阅设置认证路径的长度约束。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在随此模板颁发的证书中。
S ubordinateCACertificate _ PathLen 0_ APICSRPassthrough /V1 的定义
此模板将 S ubordinateCACertificate _ PathLen 0/V1 扩展为支持值API和CSR直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
S ubordinateCACertificate _ PathLen 0_ APIPassthrough /V1 的定义
此模板扩展了 S ubordinateCACertificate _ PathLen 0/V1 以支持API直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
S ubordinateCACertificate _ PathLen 0_ CSRPassthrough /V1 的定义
此模板与SubordinateCACertificate_PathLen0模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。模板中指定的扩展名始终会覆盖中的扩展CSR。
注意
CSR包含自定义附加扩展的 A 必须在外部创建 AWS 私有 CA。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在此模板颁发的证书中。
S ubordinateCACertificate _ PathLen 1/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书1。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,这会阻止 CA 证书用作TLS客户端或服务器证书。
有关认证路径的更多信息,请参阅设置认证路径的长度约束。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在此模板颁发的证书中。
S ubordinateCACertificate _ PathLen 1_ APICSRPassthrough /V1 的定义
此模板将 S ubordinateCACertificate _ PathLen 1/V1 扩展为支持值API和CSR直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
S ubordinateCACertificate _ PathLen 1_ APIPassthrough /V1 的定义
此模板扩展了 S ubordinateCACertificate _ PathLen 0/V1 以支持API直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
S ubordinateCACertificate _ PathLen 1_ CSRPassthrough /V1 的定义
此模板与SubordinateCACertificate_PathLen1模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。模板中指定的扩展名始终会覆盖中的扩展CSR。
注意
CSR包含自定义附加扩展的 A 必须在外部创建 AWS 私有 CA。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在此模板颁发的证书中。
S ubordinateCACertificate _ PathLen 2/V1 的定义
此模板用于颁发路径长度为 2 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,这会阻止 CA 证书用作TLS客户端或服务器证书。
有关认证路径的更多信息,请参阅设置认证路径的长度约束。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键、数字签名、 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在此模板颁发的证书中。
S ubordinateCACertificate _ PathLen 2_ APICSRPassthrough /V1 的定义
此模板将 S ubordinateCACertificate _ PathLen 2/V1 扩展为支持值API和CSR直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键签名、数字签名、 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
S ubordinateCACertificate _ PathLen 2_ APIPassthrough /V1 的定义
此模板扩展了 S ubordinateCACertificate _ PathLen 2/V1 以支持API直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键签名、数字签名、 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
S ubordinateCACertificate _ PathLen 2_ CSRPassthrough /V1 的定义
此模板与SubordinateCACertificate_PathLen2模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。模板中指定的扩展名始终会覆盖中的扩展CSR。
注意
CSR包含自定义附加扩展的 A 必须在外部创建 AWS 私有 CA。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键签名、数字签名、 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在此模板颁发的证书中。
S ubordinateCACertificate _ PathLen 3/V1 的定义
此模板用于颁发路径长度为 3 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,这会阻止 CA 证书用作TLS客户端或服务器证书。
有关认证路径的更多信息,请参阅设置认证路径的长度约束。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键签名、数字签名、 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在此模板颁发的证书中。
S ubordinateCACertificate _ PathLen 3_ APICSRPassthrough /V1 的定义
此模板将 S ubordinateCACertificate _ PathLen 3/V1 扩展为支持值API和CSR直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键签名、数字签名、 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
S ubordinateCACertificate _ PathLen 3_ APIPassthrough /V1 的定义
此模板扩展了 S ubordinateCACertificate _ PathLen 3/V1 以支持API直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从API或CSR直通] |
|
主题 |
[从API或CSR直通] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键签名、数字签名、 |
|
CRL分发点* |
[从 CA 配置传递] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在模板中。
S ubordinateCACertificate _ PathLen 3_ CSRPassthrough /V1 的定义
此模板与SubordinateCACertificate_PathLen3模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。模板中指定的扩展名始终会覆盖中的扩展CSR。
注意
CSR包含自定义附加扩展的 A 必须在外部创建 AWS 私有 CA。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[直通来自CSR] |
|
主题 |
[直通来自CSR] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[SKI来自 CA 证书] |
|
使用者密钥标识符 |
[源自CSR] |
|
密钥用法 |
关键签名、数字签名、 |
|
CRL分发点* |
[来自 CA 配置的直通或CSR] |
* 仅当 CA 配置为启用CRL生成时,CRL分发点才会包含在此模板颁发的证书中。
