本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS 私有 CA 憑證範本
AWS 私有 CA 使用組態範本來同時發行 CA 憑證和終端實體憑證。當您從 PCA 主控台發出 CA 憑證時,會自動套用適當的根憑證或次級 CA 憑證範本。
如果您使用 CLI 或 API 發行憑證,您可以將範本 ARN 做為 參數提供給 `IssueCertificate`動作。如果您未提供 ARN,則預設會套用`EndEntityCertificate/V1`範本。如需詳細資訊,請參閱 [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API 和 [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) 命令文件。
**注意**
AWS Certificate Manager 具有私有 CA 跨帳戶共用存取權的 (ACM) 使用者可以發行由 CA 簽署的受管憑證。跨帳戶發行者受到資源型政策的限制,只能存取下列終端實體憑證範本:
[EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
[EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
[EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
[BlankEndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
[BlankEndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
[SubordinateCACertificate\$1PathLen0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
如需詳細資訊,請參閱[資源型政策](pca-rbp.md)。
**Topics**
+ [
# AWS 私有 CA 範本變體
](template-varieties.md)
+ [
# AWS 私有 CA 範本操作順序
](template-order-of-operations.md)
+ [
# AWS 私有 CA 範本定義
](template-definitions.md)
# AWS 私有 CA 範本變體
AWS 私有 CA 支援四種類型的範本。
+ **基本範本**
不允許傳遞參數的預先定義範本。
+ **CSRPassthrough 範本**
允許 CSR 傳遞來擴展其對應基礎範本版本的範本。CSR 中用於發行憑證的延伸項目會複製到發行的憑證。如果 CSR 包含與範本定義衝突的延伸值,則範本定義一律具有較高的優先順序。如需優先順序的詳細資訊,請參閱 [AWS 私有 CA 範本操作順序範本操作順序](template-order-of-operations.md)。
+ **APIPassthrough 範本**
允許 API 傳遞來擴展其對應基礎範本版本的範本。請求憑證的實體可能無法得知管理員或其他中繼系統已知的動態值,可能無法在範本中定義,也可能無法在 CSR 中使用。不過,CA 管理員可以從其他資料來源擷取其他資訊,例如 Active Directory,以完成請求。例如,如果機器不知道屬於哪個組織單位,管理員可以在 Active Directory 中查詢資訊,並在 JSON 結構中包含資訊,將其新增至憑證請求。
`IssueCertificate` 動作 `ApiPassthrough` 參數中的值``會複製到發行的憑證。如果 `ApiPassthrough` 參數包含與範本定義衝突的資訊,則範本定義一律具有較高的優先順序。如需優先順序的詳細資訊,請參閱 [AWS 私有 CA 範本操作順序範本操作順序](template-order-of-operations.md)。
+ **APICSRPassthrough 範本**
透過允許 API 和 CSR 傳遞來擴展其對應基礎範本版本的範本。用於發行憑證的 CSR 中的延伸項目會複製到發行的憑證,而 `IssueCertificate`動作 `ApiPassthrough` 參數中的值也會透過 複製。如果範本定義、API 傳遞值和 CSR 傳遞延伸出現衝突,則範本定義具有最高優先順序,後面接著 API 傳遞值,後面接著 CSR 傳遞延伸。如需優先順序的詳細資訊,請參閱 [AWS 私有 CA 範本操作順序範本操作順序](template-order-of-operations.md)。
下表列出 支援的所有範本類型 AWS 私有 CA ,其中包含其定義的連結。
**注意**
如需 GovCloud 區域中範本 ARNs 的相關資訊,請參閱*AWS GovCloud (US) 《 使用者指南*[AWS 私有憑證授權單位](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-arns.html#using-govcloud-arn-syntax-acmpca)》中的 。
**基本範本**
| 範本名稱 | 範本 ARN | 憑證類型 |
| --- | --- | --- |
| [CodeSigningCertificate/V1](template-definitions.md#CodeSigningCertificate-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate/V1` | 程式碼簽署 |
| [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate/V1` | 終端實體 |
| [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1` | 終端實體 |
| [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1` | 終端實體 |
| [OCSPSigningCertificate/V1](template-definitions.md#OCSPSigningCertificate-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate/V1` | OCSP 簽署 |
| [RootCACertificate/V1](template-definitions.md#RootCACertificate-V1) | `arn:aws:acm-pca:::template/RootCACertificate/V1` | CA |
| [SubordinateCACertificate\$1PathLen0/V1](template-definitions.md#SubordinateCACertificate_PathLen0-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1` | CA |
| [SubordinateCACertificate\$1PathLen1/V1](template-definitions.md#SubordinateCACertificate_PathLen1-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1` | CA |
| [SubordinateCACertificate\$1PathLen2/V1](template-definitions.md#SubordinateCACertificate_PathLen2-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1` | CA |
| [SubordinateCACertificate\$1PathLen3/V1](template-definitions.md#SubordinateCACertificate_PathLen3-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1` | CA |
**CSRPassthrough 範本**
| 範本名稱 | 範本 ARN | 憑證類型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1CSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1` | 終端實體 |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1` | 終端實體 |
| [BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_CSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
| [CodeSigningCertificate\$1CSRPassthrough/V1](template-definitions.md#CodeSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1` | 程式碼簽署 |
| [EndEntityCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1` | 終端實體 |
| [EndEntityClientAuthCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1` | 終端實體 |
| [EndEntityServerAuthCertificate\$1CSRPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1` | 終端實體 |
| [OCSPSigningCertificate\$1CSRPassthrough/V1](template-definitions.md#OCSPSigningCertificate_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1` | OCSP 簽署 |
| [SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen2_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_CSRPassthrough-V1) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1` | CA |
**APIPassthrough 範本**
| 範本名稱 | 範本 ARN | 憑證類型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1` | 終端實體 |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1` | 終端實體 |
| [CodeSigningCertificate\$1APIPassthrough/V1](template-definitions.md#CodeSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1` | 程式碼簽署 |
| [EndEntityCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1` | 終端實體 |
| [EndEntityClientAuthCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1` | 終端實體 |
| [EndEntityServerAuthCertificate\$1APIPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1` | 終端實體 |
| [OCSPSigningCertificate\$1APIPassthrough/V1](template-definitions.md#OCSPSigningCertificate_APIPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1` | OCSP 簽署 |
| [RootCACertificate\$1APIPassthrough/V1](template-definitions.md#RootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankRootCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APIPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1` | CA |
**APICSRPassthrough 範本**
| 範本名稱 | 範本 ARN | 憑證類型 |
| --- | --- | --- |
| [BlankEndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1` | 終端實體 |
| | | |
| [BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1](template-definitions.md#BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1` | 終端實體 |
| [CodeSigningCertificate\$1APICSRPassthrough/V1](template-definitions.md#CodeSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1` | 程式碼簽署 |
| [EndEntityCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1` | 終端實體 |
| [EndEntityClientAuthCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1` | 終端實體 |
| [EndEntityServerAuthCertificate\$1APICSRPassthrough/V1](template-definitions.md#EndEntityServerAuthCertificate_APICSRPassthrough) | arn:aws:acm-pca:::template/EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 | 終端實體 |
| [OCSPSigningCertificate\$1APICSRPassthrough/V1](template-definitions.md#OCSPSigningCertificate_APICSRPassthrough) | `arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1` | OCSP 簽署 |
| [SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen0_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen1_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/PathLen3\$1APIPassthroughV1](template-definitions.md#SubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen2_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1` | CA |
| [SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#SubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
| [BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1](template-definitions.md#BlankSubordinateCACertificate_PathLen3_APICSRPassthrough) | `arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1` | CA |
# AWS 私有 CA 範本操作順序
已發行憑證中包含的資訊可以來自四個來源:範本定義、API 傳遞、CSR 傳遞和 CA 組態。
只有在您使用 API 傳遞或 APICSR 傳遞範本時,才會遵守 API 傳遞值。只有在您使用 CSRPassthrough 或 APICSR 傳遞範本時,才遵守 CSR 傳遞。當這些資訊來源發生衝突時,通常適用一般規則:對於每個延伸值,範本定義具有最高優先順序,後面接著 API 傳遞值,後面接著 CSR 傳遞延伸。
**範例**
1. [EndEntityClientAuthCertificate\$1APIPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APIPassthrough) 的範本定義定義了 ExtendedKeyUsage 延伸,其值為「TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證」。如果 ExtendedKeyUsage 在 CSR 或 `IssueCertificate` `ApiPassthrough` 參數中定義,則會忽略 ExtendedKeyUsage `ApiPassthrough`的值,因為範本定義會優先,而 ExtendedKeyUsage 值的 CSR 值則會忽略,因為範本不是 CSR 傳遞多樣性。
**注意**
不過,範本定義會複製 CSR 中的其他值,例如主旨和主旨別名。即使範本不是 CSR 傳遞變體,這些值仍會從 CSR 取得,因為範本定義始終具有最高優先順序。
1. [EndEntityClientAuthCertificate\$1APICSRPassthrough](template-definitions.md#EndEntityClientAuthCertificate_APICSRPassthrough) 的範本定義會將主體別名 (SAN) 延伸模組定義為從 API 或 CSR 複製。如果 SAN 延伸在 CSR 中定義並在 `IssueCertificate`` ApiPassthrough` 參數中提供,則 API 傳遞值會優先,因為 API 傳遞值會優先於 CSR 傳遞值。
# AWS 私有 CA 範本定義
下列各節提供受支援 AWS 私有 CA 憑證範本的組態詳細資訊。
## BlankEndEntityCertificate\$1APIPassthrough/V1 定義
使用空白的終端實體憑證範本,您可以發行僅存在 X.509 基本限制條件的終端實體憑證。這是 AWS 私有 CA 可以發行的最簡單終端實體憑證,但可以使用 API 結構進行自訂。基本限制延伸定義憑證是否為 CA 憑證。空白的終端實體憑證範本會對基本限制強制執行 FALSE 值,以確保發行終端實體憑證,而不是 CA 憑證。
您可以使用空白傳遞範本來發行智慧卡憑證,這些憑證需要金鑰用量 (KU) 和擴充金鑰用量 (EKU) 的特定值。例如,擴充金鑰用量可能需要用戶端身分驗證和智慧卡登入,而金鑰用量可能需要數位簽章、非複寫和金鑰加密。與其他傳遞範本不同,空白終端實體憑證範本允許 KU 和 EKU 延伸模組的組態,其中 KU 可以是九個支援值 (digitalSignature、nonRepudiation、keyEncipherment、dataEncipherment、keyAgreement、keyCertSign、cRLSign、encipherOnly 和 decipherOnly) 中的任何一個,而 EKU 可以是任何支援的值 (serverAuth、 clientAuth、codesigning、emailProtection、timestamping 和 OCSPSigning) 加上自訂延伸。
**BlankEndEntityCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
## BlankEndEntityCertificate\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
## BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | Critical, CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態、API 或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | Critical, CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 API 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1CriticalBasicConstraints\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | Critical, CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankEndEntityCertificate\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
### BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\$1APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\$1PathLen3\$1APICSRPassthrough**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### CodeSigningCertificate/V1 定義
此範本用來建立用於進行程式碼簽署的憑證。您可以將來自 的程式碼簽署憑證 AWS 私有 CA 與以私有 CA 基礎設施為基礎的任何程式碼簽署解決方案搭配使用。例如,使用 Code Signing for 的客戶 AWS IoT 可以使用 產生程式碼簽署憑證, AWS 私有 CA 並將其匯入 AWS Certificate Manager。如需詳細資訊,請參閱[什麼是程式碼簽署 AWS IoT?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html)以及[取得和匯入程式碼簽署憑證](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html)。
**CodeSigningCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### CodeSigningCertificate\$1APICSRPassthrough/V1 定義
此範本擴展 CodeSigningCertificate/V1,以支援 API 和 CSR 傳遞值。
**CodeSigningCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### CodeSigningCertificate\$1APIPassthrough/V1 定義
此範本與具有一個差異的`CodeSigningCertificate`範本相同:在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**CodeSigningCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### CodeSigningCertificate\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`CodeSigningCertificate`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**CodeSigningCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate/V1 定義
此範本用來建立終端實體 (例如作業系統或 Web 伺服器) 的憑證。
**EndEntityCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate\$1APICSRPassthrough/V1 定義
此範本延伸 EndEntityCertificate/V1,以支援 API 和 CSR 傳遞值。
**EndEntityCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate\$1APIPassthrough/V1 定義
此範本與具有一個差異的`EndEntityCertificate`範本相同:在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**EndEntityCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`EndEntityCertificate`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**EndEntityCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate/V1 定義
此範本與擴展金鑰用量值中`EndEntityCertificate`唯一的 不同,這會將其限制為 TLS Web 用戶端身分驗證。
**EndEntityClientAuthCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate\$1APICSRPassthrough/V1 定義
此範本延伸 EndEntityClientAuthCertificate/V1,以支援 API 和 CSR 傳遞值。
**EndEntityClientAuthCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate\$1APIPassthrough/V1 定義
此範本與 `EndEntityClientAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**EndEntityClientAuthCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate\$1CSRPassthrough/V1 定義
此範本與 `EndEntityClientAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定延伸項目, 會將其他延伸項目從憑證簽署請求 (CSR) AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**EndEntityClientAuthCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate/V1 定義
此範本與擴充金鑰用量值中`EndEntityCertificate`唯一的 不同,這會將其限制為 TLS Web 伺服器身分驗證。
**EndEntityServerAuthCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate\$1APICSRPassthrough/V1 定義
此範本延伸 EndEntityServerAuthCertificate/V1,以支援 API 和 CSR 傳遞值。
**EndEntityServerAuthCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate\$1APIPassthrough/V1 定義
此範本與 `EndEntityServerAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**EndEntityServerAuthCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate\$1CSRPassthrough/V1 定義
此範本與 `EndEntityServerAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定延伸項目, 會將其他延伸項目從憑證簽署請求 (CSR) AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**EndEntityServerAuthCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate/V1 定義
此範本用來建立用於簽署 OCSP 回應的憑證。範本與`CodeSigningCertificate`範本相同,但擴充金鑰用量值指定 OCSP 簽署而非程式碼簽署。
**OCSPSigningCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate\$1APICSRPassthrough/V1 定義
此範本擴展 OCSPSigningCertificate/V1 以支援 API 和 CSR 傳遞值。
**OCSPSigningCertificate\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate\$1APIPassthrough/V1 定義
此範本與 `OCSPSigningCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**OCSPSigningCertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate\$1CSRPassthrough/V1 定義
此範本與 `OCSPSigningCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定延伸項目, 會將其他延伸項目從憑證簽署請求 (CSR) AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**OCSPSigningCertificate\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### RootCACertificate/V1 定義
此範本用來發行自我簽署的根 CA 憑證。CA 憑證包含關鍵的基本限制條件延伸,其中會將 CA 欄位設為 `TRUE`,指定憑證可以用來發行 CA 憑證。範本不會指定路徑長度 ([pathLenConstraint](PcaTerms.md#terms-pathlength)),因為這可能會抑制階層的未來擴展。其中已排除延伸金鑰使用方式,以防止使用 CA 憑證做為 TLS 用戶端或伺服器憑證。因為無法撤銷自我簽署憑證,所以沒有指定任何 CRL 資訊。
**RootCACertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵,`CA:TRUE` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、keyCertSign、CRL 簽章 |
| CRL 分佈點 | N/A |
### RootCACertificate\$1APIPassthrough/V1 定義
此範本延伸 RootCACertificate/V1 以支援 API 傳遞值。
**RootCACertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵,`CA:TRUE` |
| 授權金鑰識別符 | 【從 API 傳遞】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、keyCertSign、CRL 簽章 |
| CRL 分佈點\$1 | N/A |
### BlankRootCACertificate\$1APIPassthrough/V1 定義
使用空白根憑證範本,您可以發行僅存在 X.509 基本限制條件的根憑證。這是 AWS 私有 CA 可以發行的最簡單根憑證,但可以使用 API 結構進行自訂。基本限制延伸定義憑證是否為 CA 憑證。空白根憑證範本`TRUE`會針對基本限制強制執行 的值,以確保發出根 CA 憑證。
您可以使用空白傳遞根範本來發行需要金鑰用量 (KU) 特定值的根憑證。例如,金鑰用量可能需要 `keyCertSign`和 `cRLSign`,但不需要 `digitalSignature`。與其他非空白根傳遞憑證範本不同,空白根憑證範本允許 KU 延伸的組態,其中 KU 可以是九個支援值 (`digitalSignature`、、`nonRepudiation``keyEncipherment`、`dataEncipherment``keyAgreement`、`keyCertSign``cRLSign`、、 `encipherOnly`和 ) 中的任何一個`decipherOnly`。
**BlankRootCACertificate\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵,`CA:TRUE` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\$1APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### SubordinateCACertificate\$1PathLen0/V1 定義
此範本用於發行路徑長度為 的次級 CA 憑證`0`。CA 憑證包含關鍵的基本限制條件延伸,其中會將 CA 欄位設為 `TRUE`,指定憑證可以用來發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\$1PathLen0/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen0/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\$1PathLen0\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen0/V1,以支援 API 傳遞值。
**SubordinateCACertificate\$1PathLen0\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen0`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\$1PathLen0\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen1/V1 定義
此範本用於發行路徑長度為 的次級 CA 憑證`1`。CA 憑證包含 CA 欄位設定為 的關鍵基本限制延伸`TRUE`,以指定憑證可用於發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\$1PathLen1/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen1/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\$1PathLen1\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen0/V1,以支援 API 傳遞值。
**SubordinateCACertificate\$1PathLen1\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen1`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\$1PathLen1\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen2/V1 定義
此範本用來發行路徑長度為 2 的次級 CA 憑證。CA 憑證包含 CA 欄位設定為 的關鍵基本限制延伸`TRUE`,以指定憑證可用於發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\$1PathLen2/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen2/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\$1PathLen2\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen2/V1,以支援 API 傳遞值。
**SubordinateCACertificate\$1PathLen2\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen2`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\$1PathLen2\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen3/V1 定義
此範本用來發行路徑長度為 3 的次級 CA 憑證。CA 憑證包含 CA 欄位設定為 的關鍵基本限制延伸`TRUE`,以指定憑證可用於發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\$1PathLen3/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen3/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\$1PathLen3\$1APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\$1PathLen3/V1,以支援 API 傳遞值。
**SubordinateCACertificate\$1PathLen3\$1APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態傳遞】 |
\$1 只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在範本中。
### SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen3`範本相同:在此範本中,如果未在範本中指定延伸, 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\$1PathLen3\$1CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\$1 | 【從 CA 組態或 CSR 傳遞】 |
\$1 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。