本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 私有 CA 模板定义
以下各节提供了有关支持的 AWS 私有 CA 证书模板的配置详细信息。
## BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义
使用空白的终端实体证书模板,您可以颁发仅存在 X.509 基本约束的终端实体证书。这是 AWS 私有 CA 可以颁发的最简单的最简单的最终实体证书,但可以使用 API 结构对其进行自定义。基本约束扩展定义该证书是否为 CA 证书。空白的终端实体证书模板将基本约束的值强制设置为 FALSE,以确保颁发的是终端实体证书,而不是 CA 证书。
您可以使用空白的直通模板来颁发需要密钥用法 (KU) 和扩展密钥用法 (EKU) 特定值的智能卡证书。例如,扩展密钥用法可能需要“客户端身份验证”和“智能卡登录”,而密钥用法可能需要“数字签名”、“不可否认”和“密钥加密”。与其他直通模板不同,空白的终端实体证书模板允许配置 KU 和 EKU 扩展,其中 KU 可以是九个支持的值(DigitalSignature、NonRepudiation、KeyenCipherment、DataEncipherMent、KeyEncipherMent、、c RLSign、encipherOnly 和 DecipherOnly),而 EKU 可以是任何支持的值(ServerAuth、ClientAuth、codesigning keyCertSign、EmailProtection),Eku 可以是任何支持的值(ServerAuth、Client、时间戳和)以及自定义扩展程序。 OCSPSigning
**BlankEndEntityCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
## BlankEndEntityCertificate\$1 APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
## BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置、API 或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 API 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CriticalBasicConstraints \$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankEndEntityCertificate\$1 CSRPassthrough /V1 的定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:FALSE |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1定义
有关空白模板的一般信息,请参阅 [BlankEndEntityCertificate\$1 APIPassthrough /V1 的定义](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate/V1 定义
使用此模板可以创建用于代码签名的证书。您可以将来自的代码签名证书 AWS 私有 CA 与任何基于私有 CA 基础架构的代码签名解决方案一起使用。例如,使用代码签名的客户 AWS IoT 可以使用生成代码签名证书 AWS 私有 CA 并将其导入到。 AWS Certificate Manager有关更多信息,请参阅[代码签名的用途 AWS IoT?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 以及[获取并导入代码签名证书](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html)。
**CodeSigningCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 CodeSigningCertificate /V1 以支持 API 和 CSR 直通值。
**CodeSigningCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate\$1 APIPassthrough /V1 的定义
此模板与`CodeSigningCertificate`模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则通过API将其他扩展 AWS 私有 CA 传递给证书。此模板中指定的扩展始终覆盖 API 中的扩展。
**CodeSigningCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### CodeSigningCertificate\$1 CSRPassthrough /V1 的定义
此模板与`CodeSigningCertificate`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**CodeSigningCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、code signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate/V1 定义
此模板用于为终端实体(如操作系统或 Web 服务器)创建证书。
**EndEntityCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityCertificate /V1 以支持 API 和 CSR 直通值。
**EndEntityCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate\$1 APIPassthrough /V1 的定义
此模板与`EndEntityCertificate`模板相同,但有一个区别:在此模板中,如果模板中未指定扩展名,则通过API将其他扩展 AWS 私有 CA 传递给证书。此模板中指定的扩展始终覆盖 API 中的扩展。
**EndEntityCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityCertificate\$1 CSRPassthrough /V1 的定义
此模板与`EndEntityCertificate`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**EndEntityCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证、TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate/V1 定义
此模板与 `EndEntityCertificate` 仅在扩展密钥用法值上不同,此模板将值限制为 TLS Web 客户端身份验证。
**EndEntityClientAuthCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityClientAuthCertificate /V1 以支持 API 和 CSR 直通值。
**EndEntityClientAuthCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate\$1 APIPassthrough /V1 的定义
此模板与 `EndEntityClientAuthCertificate` 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
**EndEntityClientAuthCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityClientAuthCertificate\$1 CSRPassthrough /V1 的定义
此模板与 `EndEntityClientAuthCertificate` 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**EndEntityClientAuthCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 客户端身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate/V1 定义
此模板与 `EndEntityCertificate` 仅在扩展密钥用法值上不同,此模板将值限制为 TLS Web 服务器身份验证。
**EndEntityServerAuthCertificate/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1 的定义
此模板扩展了 EndEntityServerAuthCertificate /V1 以支持 API 和 CSR 直通值。
**EndEntityServerAuthCertificate\$1 APICSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate\$1 APIPassthrough /V1 的定义
此模板与 `EndEntityServerAuthCertificate` 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
**EndEntityServerAuthCertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### EndEntityServerAuthCertificate\$1 CSRPassthrough /V1 的定义
此模板与 `EndEntityServerAuthCertificate` 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**EndEntityServerAuthCertificate\$1 CSRPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | CA:`FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、key encipherment |
| 扩展密钥用法 | TLS Web 服务器身份验证 |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书/V1 定义
使用此模板可以创建用于 OCSP 响应签名的证书。此模板与 `CodeSigningCertificate` 模板相同,只是扩展密钥用法值指定 OCSP 签名而不是代码签名。
**OCSPSigning证书/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书\$1 /V1 的定义 APICSRPassthrough
此模板扩展了 OCSPSigning证书/V1 以支持 API 和 CSR 直通值。
**OCSPSigning证书\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书\$1 /V1 的定义 APIPassthrough
此模板与 `OCSPSigningCertificate` 模板相同,但有一点区别。在此模板中,如果模板中未指定扩展名,则通过 API 将其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 API 中的扩展。
**OCSPSigning证书\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### OCSPSigning证书\$1 /V1 的定义 CSRPassthrough
此模板与 `OCSPSigningCertificate` 模板相同,但有一点区别。在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**OCSPSigning证书\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | `CA:FALSE` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature |
| 扩展密钥用法 | Critical、OCSP signing |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 根 CACertificate /V1 定义
此模板用于颁发自签名根 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。模板未指定路径长度 ([pathLenConstraint](PcaTerms.md#terms-pathlength)),因为这可能会阻碍层次结构的未来扩展。排除扩展密钥用法,以防止将 CA 证书用作 TLS 客户端或服务器证书。未指定 CRL 信息,因为无法吊销自签名证书。
**root CACertificate /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE` |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | 关键签名、数字签名 keyCertSign、CRL 签名 |
| CRL 分发点 | 不适用 |
### 根 CACertificate \$1 APIPassthrough /V1 的定义
此模板扩展了 Root CACertificate /V1 以支持 API 直通值。
**root CACertificate \$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE` |
| 授权密钥标识符 | [从 API 传递] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | 关键签名、数字签名 keyCertSign、CRL 签名 |
| CRL 分发点\$1 | 不适用 |
### BlankRootCACertificate\$1 APIPassthrough /V1 的定义
如果根证书模板为空,则可以在仅存在 X.509 基本限制的情况下颁发根证书。这是 AWS 私有 CA 可以颁发的最简单的根证书,但可以使用 API 结构对其进行自定义。基本约束扩展定义证书是否为 CA 证书。为确保颁发根 CA 证书,空白`TRUE`的根证书模板会强制使用基本约束的值。
您可以使用空白的直通根模板来颁发需要特定密钥用法 (KU) 值的根证书。例如,密钥的使用可能需要`keyCertSign`和`cRLSign`,但不需要`digitalSignature`。与其他非空白根直通证书模板不同,空白根证书模板允许配置 KU 扩展,其中 KU 可以是九个支持的值(`digitalSignature`、、、、、、`nonRepudiation`、`keyEncipherment`、`dataEncipherment``keyAgreement``keyCertSign``cRLSign``encipherOnly`、和`decipherOnly`)中的任何一个。
**BlankRootCACertificate\$1 APIPassthrough /V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 0\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 0\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 1\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 1\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 2\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 2\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 使用者密钥标识符 | [派生自 CSR] |
### BlankRootCACertificate\$1 PathLen 3\$1 APIPassthrough /V1 的定义
有关空白根 CA 模板的一般信息,请参阅[BlankRootCACertificate\$1 APIPassthrough /V1 的定义](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1 PathLen 3\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 使用者密钥标识符 | [派生自 CSR] |
### 下属 CACertificate \$1 PathLen 0/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书`0`。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 0/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1仅当 CA 配置为启用 CRL 生成时,才会将 CRL 分发点包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 0\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 0/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 0\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 0\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 0/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 0\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 0\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen0`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 0\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 0` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 1/V1 的定义
此模板用于颁发路径长度为的从属 CA 证书`1`。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 1/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 1\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 1/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 1\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 1\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 0/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 1\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 1\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen1`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 1\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 1` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 2/V1 的定义
此模板用于颁发路径长度为 2 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 2/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 2\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 2/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 2\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 2\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 2/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 2\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 2\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen2`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 2\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 2` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 3/V1 的定义
此模板用于颁发路径长度为 3 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展,该扩展中的 CA 字段设置为 `TRUE` 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法,以防止 CA 证书用作 TLS 客户端或服务器证书。
有关认证路径的更多信息,请参阅[设置认证路径的长度约束](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**下属 CACertificate \$1 PathLen 3/V1**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。
### 下属 CACertificate \$1 PathLen 3\$1 APICSRPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 3/V1 以支持 API 和 CSR 直通值。
**下属 CACertificate \$1 PathLen 3\$1 /V1 APICSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 3\$1 APIPassthrough /V1 定义
此模板扩展了从属关系 CACertificate \$1 PathLen 3/V1 以支持 API 直通值。
**下属 CACertificate \$1 PathLen 3\$1 /V1 APIPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 API 或 CSR 传递] |
| 主题 | [从 API 或 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置传递] |
\$1 只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在模板中。
### 下属 CACertificate \$1 PathLen 3\$1 CSRPassthrough /V1 定义
此模板与`SubordinateCACertificate_PathLen3`模板相同,但有一个区别:在此模板中,如果未在模板中指定扩展名,则将证书签名请求 (CSR) 中的其他扩展 AWS 私有 CA 传递到证书中。此模板中指定的扩展始终覆盖 CSR 中的扩展。
**注意**
包含自定义附加扩展的 CSR 必须在 AWS 私有 CA外部创建。
**下属 CACertificate \$1 PathLen 3\$1 /V1 CSRPassthrough**
| X509v3 参数 | 值 |
| --- | --- |
| 使用者备用名称 | [从 CSR 传递] |
| 主题 | [从 CSR 传递] |
| 基本约束 | Critical、`CA:TRUE`、`pathlen: 3` |
| 授权密钥标识符 | [来自 CA 证书的 SKI] |
| 使用者密钥标识符 | [派生自 CSR] |
| 密钥用法 | Critical、digital signature、`keyCertSign`、CRL sign |
| CRL 分发点\$1 | [从 CA 配置或 CSR 传递] |
\$1只有在配置 CA 时启用了 CRL 生成,CRL 分发点才会包含在使用此模板颁发的证书中。