本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Private CA 模板定义
以下各节提供了有关支持的 AWS 私有 CA 证书模板的配置详细信息。
BlankEndEntityCertificate_ APIPassthrough /V1 的定义
使用空白的终端实体证书模板,您可以颁发仅存在 X.509 基本约束的终端实体证书。这是 AWS 私有 CA 可以颁发的最简单的最简单的最终实体证书,但可以使用 API 结构对其进行自定义。基本约束扩展定义该证书是否为 CA 证书。空白的终端实体证书模板将基本约束的值强制设置为 FALSE,以确保颁发的是终端实体证书,而不是 CA 证书。
您可以使用空白的直通模板来颁发需要密钥用法 (KU) 和扩展密钥用法 (EKU) 特定值的智能卡证书。例如,扩展密钥用法可能需要“客户端身份验证”和“智能卡登录”,而密钥用法可能需要“数字签名”、“不可否认”和“密钥加密”。与其他直通模板不同,空白的终端实体证书模板允许配置 KU 和 EKU 扩展,其中 KU 可以是九个支持的值(DigitalSignature、NonRepudiation、KeyenCipherment、DataEncipherMent、KeyEncipherMent、、c RLSign、encipherOnly 和 DecipherOnly),而 EKU 可以是任何支持的值(ServerAuth、ClientAuth、codesigning keyCertSign、EmailProtection),Eku 可以是任何支持的值(ServerAuth、Client、时间戳和)以及自定义扩展程序。 OCSPSigning
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
CA:FALSE |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankEndEntityCertificate_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
CA:FALSE |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankEndEntityCertificate_ CriticalBasicConstraints _ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、CA:FALSE |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置、API 或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankEndEntityCertificate_ CriticalBasicConstraints _ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、CA:FALSE |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 API 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankEndEntityCertificate_ CriticalBasicConstraints _ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、CA:FALSE |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankEndEntityCertificate_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
CA:FALSE |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 0_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 0_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 0_ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置传递] |
BlankSubordinateCACertificate_ PathLen 1_ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 1_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 1_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 2_ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 2_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 2_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 3_ APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 3_ CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
BlankSubordinateCACertificate_ PathLen 3_ APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 BlankEndEntityCertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
CodeSigningCertificate/V1 定义
使用此模板可以创建用于代码签名的证书。您可以将来自的代码签名证书 AWS 私有 CA 与任何基于私有 CA 基础架构的代码签名解决方案一起使用。例如,使用代码签名的客户 AWS IoT 可以使用生成代码签名证书 AWS 私有 CA 并将其导入到。 AWS Certificate Manager有关更多信息,请参阅代码签名的用途 AWS IoT? 以及获取并导入代码签名证书。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
|
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、code signing |
|
CRL 分发点* |
[从 CA 配置传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
CodeSigningCertificate_ APICSRPassthrough /V1 的定义
此模板扩展了 CodeSigningCertificate /V1 以支持 API 和 CSR 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
|
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、code signing |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
CodeSigningCertificate_ APIPassthrough /V1 的定义
此模板与CodeSigningCertificate模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则通过API将其他扩展 AWS 私有 CA 传递给证书。此模板中指定的扩展始终覆盖 API 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
|
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、code signing |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
CodeSigningCertificate_ CSRPassthrough /V1 的定义
此模板与CodeSigningCertificate模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
|
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、code signing |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityCertificate/V1 定义
此模板用于为终端实体(如操作系统或 Web 服务器)创建证书。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
|
CRL 分发点* |
[从 CA 配置传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityCertificate_ APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityCertificate /V1 以支持 API 和 CSR 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityCertificate_ APIPassthrough /V1 的定义
此模板与EndEntityCertificate模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则通过API将其他扩展 AWS 私有 CA 传递给证书。此模板中指定的扩展始终覆盖 API 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityCertificate_ CSRPassthrough /V1 的定义
此模板与EndEntityCertificate模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityClientAuthCertificate/V1 定义
此模板与 EndEntityCertificate 仅在扩展密钥用法值上不同,此模板将值限制为 TLS Web 客户端身份验证。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 客户端身份验证 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityClientAuthCertificate_ APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityClientAuthCertificate /V1 以支持 API 和 CSR 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 客户端身份验证 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityClientAuthCertificate_ APIPassthrough /V1 的定义
此模板与 EndEntityClientAuthCertificate 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 客户端身份验证 |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityClientAuthCertificate_ CSRPassthrough /V1 的定义
此模板与 EndEntityClientAuthCertificate 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
| 密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 客户端身份验证 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityServerAuthCertificate/V1 定义
此模板与 EndEntityCertificate 仅在扩展密钥用法值上不同,此模板将值限制为 TLS Web 服务器身份验证。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 服务器身份验证 |
|
CRL 分发点* |
[从 CA 配置传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityServerAuthCertificate_ APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityServerAuthCertificate /V1 以支持 API 和 CSR 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 服务器身份验证 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityServerAuthCertificate_ APIPassthrough /V1 的定义
此模板与 EndEntityServerAuthCertificate 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 服务器身份验证 |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
EndEntityServerAuthCertificate_ CSRPassthrough /V1 的定义
此模板与 EndEntityServerAuthCertificate 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
CA: |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、key encipherment |
|
扩展密钥用法 |
TLS Web 服务器身份验证 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
OCSPSigning证书/V1 定义
使用此模板可以创建用于 OCSP 响应签名的证书。此模板与 CodeSigningCertificate 模板相同,只是扩展密钥用法值指定 OCSP 签名而不是代码签名。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
|
| 授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、OCSP signing |
|
CRL 分发点* |
[从 CA 配置传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
OCSPSigning证书_ /V1 的定义 APICSRPassthrough
此模板扩展了 OCSPSigning证书/V1 以支持 API 和 CSR 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
|
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、OCSP signing |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
OCSPSigning证书_ /V1 的定义 APIPassthrough
此模板与 OCSPSigningCertificate 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
|
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、OCSP signing |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
OCSPSigning证书_ /V1 的定义 CSRPassthrough
此模板与 OCSPSigningCertificate 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
|
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature |
|
扩展密钥用法 |
Critical、OCSP signing |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
根 CACertificate /V1 定义
此模板用于颁发自签名根 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。模板未指定路径长度 (pathLenConstraint),因为这可能会阻碍层次结构的未来扩展。排除扩展密钥用法,以防止将 CA 证书用作 TLS 客户端或服务器证书。未指定 CRL 信息,因为无法吊销自签名证书。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
关键签名、数字签名 keyCertSign、CRL 签名 |
|
CRL 分发点 |
不适用 |
根 CACertificate _ APIPassthrough /V1 定义
此模板扩展了 Root CACertificate /V1 以支持 API 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[从 API 传递] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
关键签名、数字签名 keyCertSign、CRL 签名 |
|
CRL 分发点* |
不适用 |
BlankRootCACertificate_ APIPassthrough /V1 的定义
如果根证书模板为空,则可以在仅存在 X.509 基本限制的情况下颁发根证书。这是 AWS 私有 CA 可以颁发的最简单的根证书,但可以使用 API 结构对其进行自定义。基本约束扩展定义证书是否为 CA 证书。为确保颁发根 CA 证书,空白TRUE的根证书模板会强制使用基本约束的值。
您可以使用空白的直通根模板来颁发需要特定密钥用法 (KU) 值的根证书。例如,密钥的使用可能需要keyCertSign和cRLSign,但不需要digitalSignature。与其他非空白根直通证书模板不同,空白根证书模板允许配置 KU 扩展,其中 KU 可以是九个支持的值(digitalSignature、、、、、、nonRepudiation、keyEncipherment、dataEnciphermentkeyAgreementkeyCertSigncRLSignencipherOnly、和decipherOnly)中的任何一个。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[派生自 CSR] |
BlankRootCACertificate_ PathLen 0_ APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅BlankRootCACertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[派生自 CSR] |
BlankRootCACertificate_ PathLen 1_ APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅BlankRootCACertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[派生自 CSR] |
BlankRootCACertificate_ PathLen 2_ APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅BlankRootCACertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[派生自 CSR] |
BlankRootCACertificate_ PathLen 3_ APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅BlankRootCACertificate_ APIPassthrough /V1 的定义。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
使用者密钥标识符 |
[派生自 CSR] |
下属 CACertificate _ PathLen 0/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书0。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅设置认证路径的长度约束。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置传递] |
*仅当 CA 配置为启用 CRL 生成时,才会将 CRL 分发点包含在使用此模板颁发的证书中。
下属 CACertificate _ PathLen 0_ APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate _ PathLen 0/V1 以支持 API 和 CSR 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
下属 CACertificate _ PathLen 0_ APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate _ PathLen 0/V1 以支持 API 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
下属 CACertificate _ PathLen 0_ CSRPassthrough /V1 定义
此模板与SubordinateCACertificate_PathLen0模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
注意
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
下属 CACertificate _ PathLen 1/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书1。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅设置认证路径的长度约束。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
下属 CACertificate _ PathLen 1_ APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate _ PathLen 1/V1 以支持 API 和 CSR 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
下属 CACertificate _ PathLen 1_ APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate _ PathLen 0/V1 以支持 API 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
下属 CACertificate _ PathLen 1_ CSRPassthrough /V1 定义
此模板与SubordinateCACertificate_PathLen1模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
注意
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
下属 CACertificate _ PathLen 2/V1 的定义
此模板用于颁发路径长度为 2 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅设置认证路径的长度约束。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
下属 CACertificate _ PathLen 2_ APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate _ PathLen 2/V1 以支持 API 和 CSR 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
下属 CACertificate _ PathLen 2_ APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate _ PathLen 2/V1 以支持 API 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
下属 CACertificate _ PathLen 2_ CSRPassthrough /V1 定义
此模板与SubordinateCACertificate_PathLen2模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
注意
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
下属 CACertificate _ PathLen 3/V1 的定义
此模板用于颁发路径长度为 3 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅设置认证路径的长度约束。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
下属 CACertificate _ PathLen 3_ APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate _ PathLen 3/V1 以支持 API 和 CSR 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
下属 CACertificate _ PathLen 3_ APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate _ PathLen 3/V1 以支持 API 直通值。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 API 或 CSR 传递] |
|
主题 |
[从 API 或 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置传递] |
* 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
下属 CACertificate _ PathLen 3_ CSRPassthrough /V1 定义
此模板与SubordinateCACertificate_PathLen3模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
注意
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
|
X509v3 参数 |
值 |
|---|---|
|
使用者备用名称 |
[从 CSR 传递] |
|
主题 |
[从 CSR 传递] |
|
基本约束 |
Critical、 |
|
授权密钥标识符 |
[来自 CA 证书的 SKI] |
|
使用者密钥标识符 |
[派生自 CSR] |
|
密钥用法 |
Critical、digital signature、 |
|
CRL 分发点* |
[从 CA 配置或 CSR 传递] |
*只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
