本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 中發行和管理憑證 AWS 私有 CA
在您建立並啟用私有憑證授權機構 (CA) 並設定存取後,您或您的授權使用者可以發行和管理憑證。如果您尚未為 CA 設定 AWS Identity and Access Management (IAM) 政策,您可以在本指南的 [Identity and Access Management](https://docs.aws.amazon.com/privateca/latest/userguide/security-iam.html) 區段中進一步了解如何設定這些政策。如需在單一帳戶和跨帳戶案例中設定 CA 存取的資訊,請參閱 [控制對私有 CA 的存取](granting-ca-access.md)。
**Topics**
+ [發行私有終端實體憑證](PcaIssueCert.md)
+ [擷取私有憑證](PcaGetCert.md)
+ [列出私有憑證](PcaListCerts.md)
+ [匯出私有憑證及其私密金鑰](export-in-acm.md)
+ [撤銷私有憑證](PcaRevokeCert.md)
+ [自動化匯出續約的憑證](auto-export.md)
+ [使用 AWS 私有 CA 憑證範本](UsingTemplates.md)
# 發行私有終端實體憑證
有了私有 CA,您可以從 AWS Certificate Manager (ACM) 或 請求私有終端實體憑證 AWS 私有 CA。下表會比較這兩種服務的功能。
****
| 功能 | ACM | AWS 私有 CA |
| --- | --- | --- |
| 發行終端實體憑證 | ✓ (使用 [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) 或主控台) | ✓ (使用 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)) |
| 與負載平衡器和面向網際網路 AWS 的服務建立關聯 | ✓ | 不支援 |
| 受管憑證續約 | ✓ | 透過 ACM 間接[支援](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) |
| 主控台支援 | ✓ | 不支援 |
| API 支援 | ✓ | ✓ |
| CLI 支援 | ✓ | ✓ |
當 AWS 私有 CA 建立憑證時,它會遵循指定憑證類型和路徑長度的範本。如果未將範本 ARN 提供給建立憑證的 API 或 CLI 陳述式,則預設會套用 [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) 範本。如需可用憑證範本的詳細資訊,請參閱[使用 AWS 私有 CA 憑證範本](UsingTemplates.md)。
雖然 ACM 憑證是以公有信任為基礎設計,但 AWS 私有 CA 可滿足您的私有 PKI 需求。因此,您可以使用 AWS 私有 CA API 和 CLI,以 ACM 不允許的方式設定憑證。這些索引標籤包括以下項目:
+ 使用任何主體名稱建立憑證。
+ 使用任何[支援的私有金鑰演算法和金鑰長度](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html)。
+ 使用任何[支援的簽署演算法](https://docs.aws.amazon.com/privateca/latest/userguide/supported-algorithms.html)。
+ 指定私有 [CA](PcaCreateCa.html) 和私有[憑證](PcaIssueCert.html)的任何有效期間。
使用 建立私有 TLS 憑證之後 AWS 私有 CA,您可以將其[匯入](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) ACM,並搭配支援 AWS 的服務使用。
**注意**
使用下列程序、 **issue-certificate**命令或 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API 動作建立的憑證無法直接匯出以供外部使用 AWS。不過,您可以使用私有 CA 來簽署透過 ACM 發行的憑證,而且這些憑證可以與其私密金鑰一起匯出。如需詳細資訊,請參閱《*ACM 使用者指南*》中的[請求私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html)和[匯出私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
## 發行標準憑證 (AWS CLI)
您可以使用 AWS 私有 CA CLI 命令 [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) 或 API 動作 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) 來請求終端實體憑證。此命令需要您要使用的私有 CA 的 Amazon Resource Name (ARN) 來發行憑證。您還必須使用 [OpenSSL](https://www.openssl.org/) 等程式產生憑證簽署請求 (CSR)。
如果您使用 AWS 私有 CA API 或 AWS CLI 發行私有憑證,則憑證將不受管理,這表示您無法使用 ACM 主控台、ACM CLI 或 ACM API 來檢視或匯出憑證,而且憑證不會自動續約。不過,您可以使用 PCA [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) 命令來擷取憑證詳細資訊,如果您擁有 CA,則可以建立[稽核報告](PcaAuditReport.md)。
**建立憑證時的考量事項**
+ 為符合 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280),您提供的網域名稱長度 (技術上為通用名稱) 不得超過 64 個八位元組 (字元),包括句點。若要新增較長的網域名稱,請在主體別名欄位中指定,該欄位支援長度上限為 253 個八位元組的名稱。
+ 如果您使用的是 1.6.3 AWS CLI 版或更新版本,請在指定 base64 編碼的輸入檔案`fileb://`時,使用 字首,例如 CSRs。這可確保 AWS 私有 CA 正確剖析資料。
下列 OpenSSL 命令會產生憑證的 CSR 和私有金鑰:
```
$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem
```
您可以檢查 CSR 的內容,如下所示:
```
$ openssl req -in csr.pem -text -noout
```
產生的輸出應類似下列縮寫範例:
```
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Big Org, CN=example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
...
aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
d3:63
Exponent: 65537 (0x10001)
Attributes:
a0:00
Signature Algorithm: sha256WithRSAEncryption
74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
....
3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
0b:53:e5:22
```
下列命令會建立憑證。由於未指定範本,預設會發出基本終端實體憑證。
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--csr fileb://csr.pem \
--signing-algorithm "SHA256WITHRSA" \
--validity Value=365,Type="DAYS"
```
已發行憑證的 ARN 會傳回:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
**注意**
AWS 私有 CA 收到**issue-certificate**命令時, 會立即傳回具有序號的 ARN。不過,憑證處理會以非同步方式進行,但仍可能會失敗。如果發生這種情況,使用新 ARN 的**get-certificate**命令也會失敗。
## 使用 APIPassthrough 範本發行具有自訂主旨名稱的憑證
在此範例中,會發出包含自訂主旨名稱元素的憑證。除了提供 中類似 的 CSR 之外[發行標準憑證 (AWS CLI)](#IssueCertCli),您還會將兩個額外的引數傳遞至 **issue-certificate**命令:APIPassthrough 範本的 ARN,以及指定自訂屬性及其物件識別符 (OIDs JSON 組態檔案。您無法`StandardAttributes`搭配 使用 `CustomAttributes`。不過,您可以將標準 OIDs 做為 的一部分傳遞`CustomAttributes`。預設主旨名稱 OIDs 會列在下表中 (來自 [RFC 4519](https://www.rfc-editor.org/rfc/rfc4519) 和[全域 OID 參考資料庫](https://oidref.com)的資訊):
| 主旨名稱 | 縮寫 | 物件 ID |
| --- | --- | --- |
| countryName | c | 2.5.4.6 |
| commonName | cn | 2.5.4.3 |
| dnQualifier 【辨別名稱限定詞】 | | 2.5.4.46 |
| generationQualifier | | 2.5.4.44 |
| givenName | | 2.5.4.42 |
| 初始 | | 2.5.4.43 |
| 地區性 | l | 2.5.4.7 |
| organizationName | o | 2.5.4.10 |
| organizationalUnitName | ou | 2.5.4.11 |
| 假名 | | 2.5.4.65 |
| serialNumber | | 2.5.4.5 |
| st 【狀態】 | | 2.5.4.8 |
| 姓氏 | sn | 2.5.4.4 |
| 標題 | | 2.5.4.12 |
| domainComponent | dc | 0.9.2342.19200300.100.1.25 |
| userid | | 0.9.2342.19200300.100.1.1 |
範例組態檔案`api_passthrough_config.txt`包含下列程式碼:
```
{
"Subject": {
"CustomAttributes": [
{
"ObjectIdentifier": "2.5.4.6",
"Value": "US"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
"Value": "BCDABCDA12341234"
},
{
"ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
"Value": "CDABCDAB12341234"
}
]
}
}
```
使用下列命令來發行憑證:
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
已發行憑證的 ARN 會傳回:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
在本機擷取憑證,如下所示:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
您可以使用 OpenSSL 檢查憑證的內容:
```
$ openssl x509 -in cert.pem -text -noout
```
**注意**
您也可以建立私有 CA,將自訂屬性傳遞給其發行的每個憑證。
## 使用 APIPassthrough 範本發行具有自訂擴充功能的憑證
在此範例中,會發出包含自訂延伸項目的憑證。為此,您需要將三個引數傳遞至 **issue-certificate**命令:APIPassthrough 範本的 ARN,以及指定自訂副檔名的 JSON 組態檔案,以及類似 中所示的 CSR[發行標準憑證 (AWS CLI)](#IssueCertCli)。
範例組態檔案`api_passthrough_config.txt`包含下列程式碼:
```
{
"Extensions": {
"CustomExtensions": [
{
"ObjectIdentifier": "2.5.29.30",
"Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
"Critical": true
}
]
}
}
```
自訂憑證的發行方式如下:
```
$ aws acm-pca issue-certificate \
--validity Type=DAYS,Value=10
--signing-algorithm "SHA256WITHRSA" \
--csr fileb://csr.pem \
--api-passthrough file://api_passthrough_config.txt \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
已發行憑證的 ARN 會傳回:
```
{
"CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
```
在本機擷取憑證,如下所示:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
jq -r .'Certificate' > cert.pem
```
您可以使用 OpenSSL 檢查憑證的內容:
```
$ openssl x509 -in cert.pem -text -noout
```
# 擷取私有憑證
您可以使用 AWS 私有 CA API 和 來 AWS CLI 發行私有憑證。如果您這麼做,您可以使用 AWS CLI 或 AWS 私有 CA API 來擷取該憑證。如果您使用 ACM 建立私有 CA 並請求憑證,則必須使用 ACM 匯出憑證和加密的私有金鑰。如需詳細資訊,請參閱[匯出私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
**擷取終端實體憑證**
使用 [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI 命令來擷取私有終端實體憑證。您也可以使用 [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html) API 操作。我們建議使用類似 Sed 的剖析器 [jq](https://stedolan.github.io/jq/) 格式化輸出。
**注意**
如果您想要撤銷憑證,可以使用 **get-certificate** 命令以十六進制格式擷取序號。您也可以建立稽核報告以擷取十六進位序號。如需詳細資訊,請參閱[將稽核報告與私有 CA 搭配使用](PcaAuditReport.md)。
```
$ aws acm-pca get-certificate \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 | \
jq -r '.Certificate, .CertificateChain'
```
此命令會以下列標準格式輸出憑證和憑證鏈。
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
**擷取 CA 憑證**
您可以使用 AWS 私有 CA API 和 AWS CLI 來擷取私有 CA 的憑證授權單位 (CA) 憑證。執行 [get-certificate-authority-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-certificate.html) 命令。您也可以呼叫 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) 操作。我們建議使用類似 Sed 的剖析器 [jq](https://stedolan.github.io/jq/) 格式化輸出。
```
$ aws acm-pca get-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
| jq -r '.Certificate'
```
此命令會以下列標準格式輸出 CA 憑證。
```
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
```
# 列出私有憑證
若要列出您的私有憑證,請產生稽核報告、從其 S3 儲存貯體擷取它,並視需要剖析報告內容。如需建立 AWS 私有 CA 稽核報告的資訊,請參閱 [將稽核報告與私有 CA 搭配使用](PcaAuditReport.md)。如需有關從 S3 儲存貯體擷取物件的資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[下載物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html)。
下列範例說明建立稽核報告的方法,並剖析這些報告以取得有用的資料。結果以 JSON 格式,並使用類似 Sed 的剖析器 [jq](https://stedolan.github.io/jq/) 來篩選資料。
**1. 建立稽核報告。**
下列命令會產生指定 CA 的稽核報告。
```
$ aws acm-pca create-certificate-authority-audit-report \
--region region \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON
```
成功時,命令會傳回新稽核報告的 ID 和位置。
```
{
"AuditReportId":"audit_report_ID",
"S3Key":"audit-report/CA_ID/audit_report_ID.json"
}
```
**2. 擷取並格式化稽核報告。**
此命令會擷取稽核報告、在標準輸出中顯示其內容,並篩選結果,以僅顯示 2020-12-01 當天或之後發行的憑證。
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json \
/dev/stdout | jq '.[] | select(.issuedAt >= "2020-12-01")'
```
傳回的項目如下所示:
```
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**3. 在本機儲存稽核報告。**
如果您想要執行多個查詢,將稽核報告儲存到本機檔案非常方便。
```
$ aws s3api get-object \
--region region \
--bucket bucket_name \
--key audit-report/CA_ID/audit_report_ID.json > my_local_audit_report.json
```
與 相同的篩選條件會產生相同的輸出:
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-12-01")'
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"subject":"CN=pca.alpha.root2.leaf5",
"notBefore":"2020-12-21T21:28:09+0000",
"notAfter":"9999-12-31T23:59:59+0000",
"issuedAt":"2020-12-21T22:28:09+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**4. 日期範圍內的查詢**
您可以查詢日期範圍內發行的憑證,如下所示:
```
$ cat my_local_audit_report.json | jq '.[] | select(.issuedAt >= "2020-11-01" and .issuedAt <= "2020-11-10")'
```
篩選的內容會顯示在標準輸出中:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**5. 搜尋指定範本之後的憑證。**
下列命令會使用範本 ARN 篩選報告內容:
```
$ cat my_local_audit_report.json | jq '.[] | select(.templateArn == "arn:aws:acm-pca:::template/RootCACertificate/V1")'
```
輸出會顯示相符的憑證記錄:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.rsa2048sha256",
"notBefore": "2020-11-06T19:15:46+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:15:46+0000",
"templateArn": "arn:aws:acm-pca:::template/RootCACertificate/V1"
}
```
**6. 篩選已撤銷的憑證**
若要尋找所有已撤銷的憑證,請使用下列命令:
```
$ cat my_local_audit_report.json | jq '.[] | select(.revokedAt != null)'
```
撤銷的憑證顯示如下:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf2",
"notBefore": "2020-11-06T20:04:39+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T21:04:39+0000",
"revokedAt": "2021-05-27T18:57:32+0000",
"revocationReason": "UNSPECIFIED",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
**7. 使用規則表達式進行篩選。**
下列命令會搜尋包含字串 "leaf" 的主題名稱:
```
$ cat my_local_audit_report.json | jq '.[] | select(.subject|test("leaf"))'
```
系統會傳回相符的憑證記錄,如下所示:
```
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.roo2.leaf4",
"notBefore": "2020-11-16T18:17:10+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-16T19:17:12+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf5",
"notBefore": "2020-12-21T21:28:09+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-12-21T22:28:09+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
{
"awsAccountId": "account",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial": "serial_number",
"subject": "CN=pca.alpha.root2.leaf1",
"notBefore": "2020-11-06T19:18:21+0000",
"notAfter": "9999-12-31T23:59:59+0000",
"issuedAt": "2020-11-06T20:18:22+0000",
"templateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
```
# 匯出私有憑證及其私密金鑰
AWS 私有 CA 無法直接匯出已簽署並發行的私有憑證。不過,您可以使用 AWS Certificate Manager 匯出這類憑證及其加密的私密金鑰。然後,憑證完全可攜,可在私有 PKI 的任何位置進行部署。如需詳細資訊,請參閱 AWS Certificate Manager 《 使用者指南》中的[匯出私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
為增加效益, 為使用 ACM 主控台發行的私有憑證、ACM API `RequestCertificate`的動作或 的 ACM 區段中的 **request-certificate**命令 AWS Certificate Manager 提供受管續約 AWS CLI。如需續約的詳細資訊,請參閱[在私有 PKI 中續約憑證。](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html)
# 撤銷私有憑證
您可以使用 [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI 命令或 [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) API 動作來撤銷 AWS 私有 CA 憑證。例如,如果憑證的私密金鑰遭到入侵或其相關聯的網域變成無效,則憑證可能需要在排程過期之前撤銷。為了讓撤銷生效,使用憑證的用戶端需要一種方法來檢查每次嘗試建置安全網路連線時的撤銷狀態。
AWS 私有 CA 提供兩種完全受管的機制來支援撤銷狀態檢查:線上憑證狀態通訊協定 (OCSP) 和憑證撤銷清單 (CRLs)。使用 OCSP,用戶端會查詢授權撤銷資料庫,以即時傳回狀態。使用 CRL 時,用戶端會根據其定期下載和存放的已撤銷憑證清單來檢查憑證。用戶端拒絕接受已撤銷的憑證。
OCSP 和 CRLs都取決於內嵌在憑證中的驗證資訊。因此,發行 CA 必須設定為在發行之前支援其中一個或兩個機制。如需透過 選取和實作受管撤銷的資訊 AWS 私有 CA,請參閱 [規劃您的 AWS 私有 CA 憑證撤銷方法](revocation-setup.md)。
撤銷的憑證一律會記錄在 AWS 私有 CA 稽核報告中。
**注意**
對於跨帳戶發起人,需要具有 `AWSRAMRevokeCertificateCertificateAuthority`許可的共享。撤銷許可不包含在 中`AWSRAMDefaultPermissionCertificateAuthority`。若要啟用跨帳戶發行者的撤銷,CA 管理員必須建立兩個 RAM 共用,兩個共用都指向相同的 CA:
具有 `AWSRAMRevokeCertificateCertificateAuthority`許可的共用。
具有 `AWSRAMDefaultPermissionCertificateAuthority`許可的共用。
**撤銷憑證**
使用 [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) API 動作或 [revoke-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/revoke-certificate.html) 命令來撤銷私有 PKI 憑證。序號必須為十六進位格式。您可以透過呼叫 [get-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) 命令來擷取序號。`revoke-certificate` 命令不會傳回回應。
```
$ aws acm-pca revoke-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-serial serial_number \
--revocation-reason "KEY_COMPROMISE"
```
## 撤銷的憑證和 OCSP
當您撤銷憑證時,OCSP 回應最多可能需要 60 分鐘才能反映新狀態。一般而言,OCSP 傾向於支援更快速的撤銷資訊分發,因為與用戶端可以快取數天CRLs 不同,用戶端通常不會快取 OCSP 回應。
## CRL 中的已撤銷憑證
CRL 通常在憑證撤銷後約 30 分鐘更新。如果 CRL 更新因任何原因失敗, AWS 私有 CA 會每 15 分鐘進一步嘗試一次。
使用 Amazon CloudWatch,您可以為 `CRLGenerated` 和 `MisconfiguredCRLBucket` 指標建立警示。如需詳細資訊,請參閱[支援的 CloudWatch 指標](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCloudWatch.html)。如需建立及設定 CRL 的詳細資訊,請參閱 [設定 的 CRL AWS 私有 CA](crl-planning.md)。
以下範例會示範憑證撤銷清單 (CRL) 中的已撤銷憑證。
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Examples LLC/OU=Corporate Office/CN=www.example.com
Last Update: Jan 10 19:28:47 2018 GMT
Next Update: Jan 8 20:28:47 2028 GMT
CRL extensions:
X509v3 Authority key identifier:
keyid:3B:F0:04:6B:51:54:1F:C9:AE:4A:C0:2F:11:E6:13:85:D8:84:74:67
X509v3 CRL Number:
1515616127629
Revoked Certificates:
Serial Number: B17B6F9AE9309C51D5573BCA78764C23
Revocation Date: Jan 9 17:19:17 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
21:2f:86:46:6e:0a:9c:0d:85:f6:b6:b6:db:50:ce:32:d4:76:
99:3e:df:ec:6f:c7:3b:7e:a3:6b:66:a7:b2:83:e8:3b:53:42:
f0:7a:bc:ba:0f:81:4d:9b:71:ee:14:c3:db:ad:a0:91:c4:9f:
98:f1:4a:69:9a:3f:e3:61:36:cf:93:0a:1b:7d:f7:8d:53:1f:
2e:f8:bd:3c:7d:72:91:4c:36:38:06:bf:f9:c7:d1:47:6e:8e:
54:eb:87:02:33:14:10:7f:b2:81:65:a1:62:f5:fb:e1:79:d5:
1d:4c:0e:95:0d:84:31:f8:5d:59:5d:f9:2b:6f:e4:e6:60:8b:
58:7d:b2:a9:70:fd:72:4f:e7:5b:e4:06:fc:e7:23:e7:08:28:
f7:06:09:2a:a1:73:31:ec:1c:32:f8:dc:03:ea:33:a8:8e:d9:
d4:78:c1:90:4c:08:ca:ba:ec:55:c3:00:f4:2e:03:b2:dd:8a:
43:13:fd:c8:31:c9:cd:8d:b3:5e:06:c6:cc:15:41:12:5d:51:
a2:84:61:16:a0:cf:f5:38:10:da:a5:3b:69:7f:9c:b0:aa:29:
5f:fc:42:68:b8:fb:88:19:af:d9:ef:76:19:db:24:1f:eb:87:
65:b2:05:44:86:21:e0:b4:11:5c:db:f6:a2:f9:7c:a6:16:85:
0e:81:b2:76
```
## 稽核報告中的已撤銷憑證
所有憑證 (包括撤銷的憑證) 皆包含在私有 CA 的稽核報告中。以下範例會示範具有一個已發行憑證和一個已撤銷憑證的稽核報告。如需詳細資訊,請參閱[將稽核報告與私有 CA 搭配使用](PcaAuditReport.md)。
```
[
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161173616c6573406578616d706c652e636f6d,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-02-26T18:39:57+0000",
"notAfter":"2019-02-26T19:39:57+0000",
"issuedAt":"2018-02-26T19:39:58+0000",
"revokedAt":"2018-02-26T20:00:36+0000",
"revocationReason":"KEY_COMPROMISE"
},
{
"awsAccountId":"account",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"serial_number",
"Subject":"1.2.840.113549.1.9.1=#161970726f64407777772e70616c6f75736573616c65732e636f6d,CN=www.example3.com.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2018-01-22T20:10:49+0000",
"notAfter":"2019-01-17T21:10:49+0000",
"issuedAt":"2018-01-22T21:10:49+0000"
}
]
```
# 自動化匯出續約的憑證
當您使用 AWS 私有 CA 建立 CA 時,您可以將該 CA 匯入 AWS Certificate Manager ,並讓 ACM 管理憑證發行和續約。如果要續約的憑證與[整合的服務](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)相關聯,則該服務會無縫套用新的憑證。不過,如果憑證最初匯出[https://docs.aws.amazon.com/acm/latest/userguide/export-private.html](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)以用於 PKI 環境的其他位置 (例如,在內部部署伺服器或設備中),則需要在續約後再次匯出。
如需使用 Amazon EventBridge 和 AWS Lambda 自動化 ACM 匯出程序的範例解決方案,請參閱[自動化匯出更新的憑證](https://docs.aws.amazon.com/acm/latest/userguide/renew-private-cert.html#automating-export)。
# 使用 AWS 私有 CA 憑證範本
AWS 私有 CA 使用組態範本來同時發行 CA 憑證和終端實體憑證。當您從 PCA 主控台發出 CA 憑證時,會自動套用適當的根憑證或次級 CA 憑證範本。
如果您使用 CLI 或 API 發行憑證,您可以將範本 ARN 做為 參數提供給 `IssueCertificate`動作。如果您未提供 ARN,則預設會套用`EndEntityCertificate/V1`範本。如需詳細資訊,請參閱 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API 和 [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) 命令文件。
**注意**
AWS Certificate Manager 具有私有 CA 跨帳戶共用存取權的 (ACM) 使用者可以發行由 CA 簽署的受管憑證。跨帳戶發行者受到資源型政策的限制,只能存取下列終端實體憑證範本:
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[SubordinateCACertificate\$1PathLen0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
如需詳細資訊,請參閱[資源型政策](pca-rbp.md)。
**Topics**
+ [AWS 私有 CA 範本變體](template-varieties.md)
+ [AWS 私有 CA 範本操作順序](template-order-of-operations.md)
+ [AWS 私有 CA 範本定義](template-definitions.md)
# AWS 私有 CA 範本變體
AWS 私有 CA 支援四種類型的範本。
+ **基本範本**
不允許傳遞參數的預先定義範本。
+ **CSRPassthrough 範本**
允許 CSR 傳遞來擴展其對應基礎範本版本的範本。CSR 中用於發行憑證的延伸項目會複製到發行的憑證。如果 CSR 包含與範本定義衝突的延伸值,則範本定義一律具有較高的優先順序。如需優先順序的詳細資訊,請參閱 [AWS 私有 CA 範本操作順序範本操作順序](template-order-of-operations.md)。
+ **APIPassthrough 範本**
允許 API 傳遞來擴展其對應基礎範本版本的範本。請求憑證的實體可能無法得知管理員或其他中繼系統已知的動態值,可能無法在範本中定義,也可能無法在 CSR 中使用。不過,CA 管理員可以從其他資料來源擷取其他資訊,例如 Active Directory,以完成請求。例如,如果機器不知道屬於哪個組織單位,管理員可以在 Active Directory 中查詢資訊,並在 JSON 結構中包含資訊,將其新增至憑證請求。
`IssueCertificate` 動作 `ApiPassthrough` 參數中的值``會複製到發行的憑證。如果 `ApiPassthrough` 參數包含與範本定義衝突的資訊,則範本定義一律具有較高的優先順序。如需優先順序的詳細資訊,請參閱 [AWS 私有 CA 範本操作順序範本操作順序](template-order-of-operations.md)。
+ **APICSRPassthrough 範本**
透過允許 API 和 CSR 傳遞來擴展其對應基礎範本版本的範本。用於發行憑證的 CSR 中的延伸項目會複製到發行的憑證,而 `IssueCertificate`動作 `ApiPassthrough` 參數中的值也會透過 複製。如果範本定義、API 傳遞值和 CSR 傳遞延伸出現衝突,則範本定義具有最高優先順序,後面接著 API 傳遞值,後面接著 CSR 傳遞延伸。如需優先順序的詳細資訊,請參閱 [AWS 私有 CA 範本操作順序範本操作順序](template-order-of-operations.md)。
下表列出 支援的所有範本類型 AWS 私有 CA ,其中包含其定義的連結。
**注意**
如需 GovCloud 區域中範本 ARNs 的相關資訊,請參閱*AWS GovCloud (US) 《 使用者指南*[AWS 私有憑證授權單位](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)》中的 。
**基本範本**
| 範本名稱 | 範本 ARN | 憑證類型 |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | 程式碼簽署 |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | 終端實體 |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | 終端實體 |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | 終端實體 |
| [OCSPSigningCertificate/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | OCSP 簽署 |
| [RootCACertificate/V1](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [SubordinateCACertificate\$1PathLen0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [SubordinateCACertificate\$1PathLen1/V1](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [SubordinateCACertificate\$1PathLen2/V1](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [SubordinateCACertificate\$1PathLen3/V1](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough 範本**
| 範本名稱 | 範本 ARN | 憑證類型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1CSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | 終端實體 |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | 終端實體 |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificate\$1CSRPassthrough/V1](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | 程式碼簽署 |
| [EndEntityCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | 終端實體 |
| [EndEntityClientAuthCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | 終端實體 |
| [EndEntityServerAuthCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | 終端實體 |
| [OCSPSigningCertificate\$1CSRPassthrough/V1](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | OCSP 簽署 |
| [SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough 範本**
| 範本名稱 | 範本 ARN | 憑證類型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | 終端實體 |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | 終端實體 |
| [CodeSigningCertificate\$1APIPassthrough/V1](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | 程式碼簽署 |
| [EndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | 終端實體 |
| [EndEntityClientAuthCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | 終端實體 |
| [EndEntityServerAuthCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | 終端實體 |
| [OCSPSigningCertificate\$1APIPassthrough/V1](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | OCSP 簽署 |
| [RootCACertificate\$1APIPassthrough/V1](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough 範本**
| 範本名稱 | 範本 ARN | 憑證類型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | 終端實體 |
| | | |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | 終端實體 |
| [CodeSigningCertificate\$1APICSRPassthrough/V1](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | 程式碼簽署 |
| [EndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | 終端實體 |
| [EndEntityClientAuthCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | 終端實體 |
| [EndEntityServerAuthCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | 終端實體 |
| [OCSPSigningCertificate\$1APICSRPassthrough/V1](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | OCSP 簽署 |
| [SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/PathLen3\$1APIPassthroughV1](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS 私有 CA 範本操作順序
已發行憑證中包含的資訊可以來自四個來源:範本定義、API 傳遞、CSR 傳遞和 CA 組態。
只有在您使用 API 傳遞或 APICSR 傳遞範本時,才會遵守 API 傳遞值。只有在您使用 CSRPassthrough 或 APICSR 傳遞範本時,才遵守 CSR 傳遞。當這些資訊來源發生衝突時,通常適用一般規則:對於每個延伸值,範本定義具有最高優先順序,後面接著 API 傳遞值,後面接著 CSR 傳遞延伸。
**範例**
1. [EndEntityClientAuthCertificate\$1APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) 的範本定義定義了 ExtendedKeyUsage 延伸,其值為「TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證」。如果 ExtendedKeyUsage 在 CSR 或 `IssueCertificate` `ApiPassthrough` 參數中定義,則會忽略 ExtendedKeyUsage `ApiPassthrough`的值,因為範本定義會優先,而 ExtendedKeyUsage 值的 CSR 值則會忽略,因為範本不是 CSR 傳遞多樣性。
**注意**
不過,範本定義會複製 CSR 中的其他值,例如主旨和主旨別名。即使範本不是 CSR 傳遞變體,這些值仍會從 CSR 取得,因為範本定義始終具有最高優先順序。
1. [EndEntityClientAuthCertificate\$1APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) 的範本定義會將主體別名 (SAN) 延伸模組定義為從 API 或 CSR 複製。如果 SAN 延伸在 CSR 中定義並在 `IssueCertificate`` ApiPassthrough` 參數中提供,則 API 傳遞值會優先,因為 API 傳遞值會優先於 CSR 傳遞值。
# AWS 私有 CA 範本定義
下列各節提供受支援 AWS 私有 CA 憑證範本的組態詳細資訊。
## BlankEndEntityCertificate\$1APIPassthrough/V1 定義
使用空白的終端實體憑證範本,您可以發行僅存在 X.509 基本限制條件的終端實體憑證。這是 AWS 私有 CA 可以發行的最簡單終端實體憑證,但可以使用 API 結構進行自訂。基本限制延伸定義憑證是否為 CA 憑證。空白的終端實體憑證範本會對基本限制強制執行 FALSE 值,以確保發行終端實體憑證,而不是 CA 憑證。
您可以使用空白傳遞範本來發行智慧卡憑證,這些憑證需要金鑰用量 (KU) 和擴充金鑰用量 (EKU) 的特定值。例如,擴充金鑰用量可能需要用戶端身分驗證和智慧卡登入,而金鑰用量可能需要數位簽章、非複寫和金鑰加密。與其他傳遞範本不同,空白終端實體憑證範本允許 KU 和 EKU 延伸模組的組態,其中 KU 可以是九個支援值 (digitalSignature、nonRepudiation、keyEncipherment、dataEncipherment、keyAgreement、keyCertSign、cRLSign、encipherOnly 和 decipherOnly) 中的任何一個,而 EKU 可以是任何支援的值 (serverAuth、 clientAuth、codesigning、emailProtection、timestamping 和 OCSPSigning) 加上自訂延伸。
**BlankEndEntityCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
## BlankEndEntityCertificate\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
## BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | Critical, CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態、API 或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | Critical, CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 API 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | Critical, CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankEndEntityCertificate\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### CodeSigningCertificate/V1 定義
此範本用來建立用於進行程式碼簽署的憑證。您可以將來自 的程式碼簽署憑證 AWS 私有 CA 與以私有 CA 基礎設施為基礎的任何程式碼簽署解決方案搭配使用。例如,使用 Code Signing for 的客戶 AWS IoT 可以使用 產生程式碼簽署憑證, AWS 私有 CA 並將其匯入 AWS Certificate Manager。如需詳細資訊,請參閱[什麼是程式碼簽署 AWS IoT?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html)以及[取得和匯入程式碼簽署憑證](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html)。
**CodeSigningCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### CodeSigningCertificate\$1APICSRPassthrough/V1 定義
此範本擴展 CodeSigningCertificate/V1,以支援 API 和 CSR 傳遞值。
**CodeSigningCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### CodeSigningCertificate\$1APIPassthrough/V1 定義
此範本與具有一個差異的`CodeSigningCertificate`範本相同:在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**CodeSigningCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### CodeSigningCertificate\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`CodeSigningCertificate`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**CodeSigningCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate/V1 定義
此範本用來建立終端實體 (例如作業系統或 Web 伺服器) 的憑證。
**EndEntityCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate\$1APICSRPassthrough/V1 定義
此範本延伸 EndEntityCertificate/V1,以支援 API 和 CSR 傳遞值。
**EndEntityCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate\$1APIPassthrough/V1 定義
此範本與具有一個差異的`EndEntityCertificate`範本相同:在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**EndEntityCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`EndEntityCertificate`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**EndEntityCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate/V1 定義
此範本與擴展金鑰用量值中`EndEntityCertificate`唯一的 不同,這會將其限制為 TLS Web 用戶端身分驗證。
**EndEntityClientAuthCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate\$1APICSRPassthrough/V1 定義
此範本延伸 EndEntityClientAuthCertificate/V1,以支援 API 和 CSR 傳遞值。
**EndEntityClientAuthCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate\$1APIPassthrough/V1 定義
此範本與 `EndEntityClientAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**EndEntityClientAuthCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate\$1CSRPassthrough/V1 定義
此範本與 `EndEntityClientAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定延伸項目, 會將其他延伸項目從憑證簽署請求 (CSR) AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**EndEntityClientAuthCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate/V1 定義
此範本與擴充金鑰用量值中`EndEntityCertificate`唯一的 不同,這會將其限制為 TLS Web 伺服器身分驗證。
**EndEntityServerAuthCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 定義
此範本延伸 EndEntityServerAuthCertificate/V1,以支援 API 和 CSR 傳遞值。
**EndEntityServerAuthCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate\$1APIPassthrough/V1 定義
此範本與 `EndEntityServerAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**EndEntityServerAuthCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate\$1CSRPassthrough/V1 定義
此範本與 `EndEntityServerAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定延伸項目, 會將其他延伸項目從憑證簽署請求 (CSR) AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**EndEntityServerAuthCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate/V1 定義
此範本用來建立用於簽署 OCSP 回應的憑證。範本與`CodeSigningCertificate`範本相同,但擴充金鑰用量值指定 OCSP 簽署而非程式碼簽署。
**OCSPSigningCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate\$1APICSRPassthrough/V1 定義
此範本擴展 OCSPSigningCertificate/V1 以支援 API 和 CSR 傳遞值。
**OCSPSigningCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate\$1APIPassthrough/V1 定義
此範本與 `OCSPSigningCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**OCSPSigningCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate\$1CSRPassthrough/V1 定義
此範本與 `OCSPSigningCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定延伸項目, 會將其他延伸項目從憑證簽署請求 (CSR) AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**OCSPSigningCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### RootCACertificate/V1 定義
此範本用來發行自我簽署的根 CA 憑證。CA 憑證包含關鍵的基本限制條件延伸,其中會將 CA 欄位設為 `TRUE`,指定憑證可以用來發行 CA 憑證。範本不會指定路徑長度 ([pathLenConstraint](PcaTerms.md#terms-pathlength)),因為這可能會抑制階層的未來擴展。其中已排除延伸金鑰使用方式,以防止使用 CA 憑證做為 TLS 用戶端或伺服器憑證。因為無法撤銷自我簽署憑證,所以沒有指定任何 CRL 資訊。
**RootCACertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵,`CA:TRUE` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、keyCertSign、CRL 簽章 |
| CRL 分佈點 | N/A |
### RootCACertificate\$1APIPassthrough/V1 定義
此範本延伸 RootCACertificate/V1 以支援 API 傳遞值。
**RootCACertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵,`CA:TRUE` |
| 授權金鑰識別符 | 【從 API 傳遞】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、keyCertSign、CRL 簽章 |
| CRL 分佈點\$1 | N/A |
### BlankRootCACertificate\$1APIPassthrough/V1 定義
使用空白根憑證範本,您可以發行僅存在 X.509 基本限制條件的根憑證。這是 AWS 私有 CA 可以發行的最簡單根憑證,但可以使用 API 結構進行自訂。基本限制延伸定義憑證是否為 CA 憑證。空白根憑證範本`TRUE`會針對基本限制強制執行 的值,以確保發出根 CA 憑證。
您可以使用空白傳遞根範本來發行需要金鑰用量 (KU) 特定值的根憑證。例如,金鑰用量可能需要 `keyCertSign`和 `cRLSign`,但不需要 `digitalSignature`。與其他非空白根傳遞憑證範本不同,空白根憑證範本允許 KU 延伸的組態,其中 KU 可以是九個支援值 (`digitalSignature`、、`nonRepudiation``keyEncipherment`、`dataEncipherment``keyAgreement`、`keyCertSign``cRLSign`、、 `encipherOnly`和 ) 中的任何一個`decipherOnly`。
**BlankRootCACertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵,`CA:TRUE` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### SubordinateCACertificate\$1PathLen0/V1 定義
此範本用於發行路徑長度為 的次級 CA 憑證`0`。CA 憑證包含關鍵的基本限制條件延伸,其中會將 CA 欄位設為 `TRUE`,指定憑證可以用來發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\$1PathLen0/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen0/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen0/V1,以支援 API 傳遞值。
**SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen0`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen1/V1 定義
此範本用於發行路徑長度為 的次級 CA 憑證`1`。CA 憑證包含 CA 欄位設定為 的關鍵基本限制延伸`TRUE`,以指定憑證可用於發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\$1PathLen1/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen1/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen0/V1,以支援 API 傳遞值。
**SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen1`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen2/V1 定義
此範本用來發行路徑長度為 2 的次級 CA 憑證。CA 憑證包含 CA 欄位設定為 的關鍵基本限制延伸`TRUE`,以指定憑證可用於發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\$1PathLen2/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen2/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen2/V1,以支援 API 傳遞值。
**SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen2`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen3/V1 定義
此範本用來發行路徑長度為 3 的次級 CA 憑證。CA 憑證包含 CA 欄位設定為 的關鍵基本限制延伸`TRUE`,以指定憑證可用於發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\$1PathLen3/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen3/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen3/V1,以支援 API 傳遞值。
**SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen3`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。