本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 私有 CA 範本定義
下列各節提供受支援 AWS 私有 CA 憑證範本的組態詳細資訊。
## BlankEndEntityCertificate\_APIPassthrough/V1 定義
使用空白的終端實體憑證範本,您可以發行僅存在 X.509 基本限制條件的終端實體憑證。這是 AWS 私有 CA 可以發行的最簡單終端實體憑證,但可以使用 API 結構進行自訂。基本限制延伸定義憑證是否為 CA 憑證。空白的終端實體憑證範本會對基本限制強制執行 FALSE 值,以確保發行終端實體憑證,而不是 CA 憑證。
您可以使用空白傳遞範本來發行智慧卡憑證,這些憑證需要金鑰用量 (KU) 和擴充金鑰用量 (EKU) 的特定值。例如,擴充金鑰用量可能需要用戶端身分驗證和智慧卡登入,而金鑰用量可能需要數位簽章、非複寫和金鑰加密。與其他傳遞範本不同,空白終端實體憑證範本允許 KU 和 EKU 延伸模組的組態,其中 KU 可以是九個支援值 (digitalSignature、nonRepudiation、keyEncipherment、dataEncipherment、keyAgreement、keyCertSign、cRLSign、encipherOnly 和 decipherOnly) 中的任何一個,而 EKU 可以是任何支援的值 (serverAuth、 clientAuth、codesigning、emailProtection、timestamping 和 OCSPSigning) 加上自訂延伸。
**BlankEndEntityCertificate\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:FALSE |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
## BlankEndEntityCertificate\_APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:FALSE |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
## BlankEndEntityCertificate\_CriticalBasicConstraints\_APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\_CriticalBasicConstraints\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | Critical, CA:FALSE |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態、API 或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankEndEntityCertificate\_CriticalBasicConstraints\_APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\_CriticalBasicConstraints\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | Critical, CA:FALSE |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 API 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankEndEntityCertificate\_CriticalBasicConstraints\_CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\_CriticalBasicConstraints\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | Critical, CA:FALSE |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankEndEntityCertificate\_CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankEndEntityCertificate\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:FALSE |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen0\_CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen0\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen0\_APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen0\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen0\_APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen0\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
### BlankSubordinateCACertificate\_PathLen1\_APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen1\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen1\_CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen1\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen1\_APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen1\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen2\_APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen2\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen2\_CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen2\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen2\_APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen2\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen3\_APIPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen3\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen3\_CSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen3\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### BlankSubordinateCACertificate\_PathLen3\_APICSRPassthrough/V1 定義
如需空白範本的一般資訊,請參閱 [BlankEndEntityCertificate\_APIPassthrough/V1 定義](#BlankEndEntityCertificate_APIPassthrough)。
**BlankSubordinateCACertificate\_PathLen3\_APICSRPassthrough**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### CodeSigningCertificate/V1 定義
此範本用來建立用於進行程式碼簽署的憑證。您可以將來自 的程式碼簽署憑證 AWS 私有 CA 與以私有 CA 基礎設施為基礎的任何程式碼簽署解決方案搭配使用。例如,使用 Code Signing for 的客戶 AWS IoT 可以使用 產生程式碼簽署憑證, AWS 私有 CA 並將其匯入 AWS Certificate Manager。如需詳細資訊,請參閱[什麼是程式碼簽署 AWS IoT?](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) 和 [取得和匯入程式碼簽署憑證](https://docs.aws.amazon.com/signer/latest/developerguide/obtain-cert.html)。
**CodeSigningCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### CodeSigningCertificate\_APICSRPassthrough/V1 定義
此範本擴展 CodeSigningCertificate/V1,以支援 API 和 CSR 傳遞值。
**CodeSigningCertificate\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### CodeSigningCertificate\_APIPassthrough/V1 定義
此範本與具有一個差異的`CodeSigningCertificate`範本相同:在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**CodeSigningCertificate\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### CodeSigningCertificate\_CSRPassthrough/V1 定義
此範本與具有一個差異的`CodeSigningCertificate`範本相同:在此範本中,如果未在範本中指定延伸,則 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**CodeSigningCertificate\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、程式碼簽署 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate/V1 定義
此範本用來建立終端實體 (例如作業系統或 Web 伺服器) 的憑證。
**EndEntityCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityCertificate\_APICSRPassthrough/V1 定義
此範本延伸 EndEntityCertificate/V1,以支援 API 和 CSR 傳遞值。
**EndEntityCertificate\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### EndEntityCertificate\_APIPassthrough/V1 定義
此範本與具有一個差異的`EndEntityCertificate`範本相同:在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**EndEntityCertificate\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### EndEntityCertificate\_CSRPassthrough/V1 定義
此範本與具有一個差異的`EndEntityCertificate`範本相同:在此範本中,如果未在範本中指定延伸,則 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**EndEntityCertificate\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證、TLS Web 用戶端身分驗證 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate/V1 定義
此範本與擴展金鑰用量值中`EndEntityCertificate`唯一的 不同,這會將其限制為 TLS Web 用戶端身分驗證。
**EndEntityClientAuthCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityClientAuthCertificate\_APICSRPassthrough/V1 定義
此範本延伸 EndEntityClientAuthCertificate/V1,以支援 API 和 CSR 傳遞值。
**EndEntityClientAuthCertificate\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### EndEntityClientAuthCertificate\_APIPassthrough/V1 定義
此範本與 `EndEntityClientAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**EndEntityClientAuthCertificate\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### EndEntityClientAuthCertificate\_CSRPassthrough/V1 定義
此範本與 `EndEntityClientAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會將憑證簽署請求 (CSR) 中的其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**EndEntityClientAuthCertificate\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 用戶端身分驗證 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate/V1 定義
此範本與擴展金鑰用量值中`EndEntityCertificate`唯一的 不同,這會將其限制為 TLS Web 伺服器身分驗證。
**EndEntityServerAuthCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### EndEntityServerAuthCertificate\_APICSRPassthrough/V1 定義
此範本延伸 EndEntityServerAuthCertificate/V1,以支援 API 和 CSR 傳遞值。
**EndEntityServerAuthCertificate\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### EndEntityServerAuthCertificate\_APIPassthrough/V1 定義
此範本與 `EndEntityServerAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**EndEntityServerAuthCertificate\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### EndEntityServerAuthCertificate\_CSRPassthrough/V1 定義
此範本與 `EndEntityServerAuthCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會將憑證簽署請求 (CSR) 中的其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**EndEntityServerAuthCertificate\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | CA:`FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、金鑰加密 |
| 擴充金鑰用量 | TLS Web 伺服器身分驗證 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate/V1 定義
此範本用來建立用於簽署 OCSP 回應的憑證。範本與`CodeSigningCertificate`範本相同,但擴充金鑰用量值指定 OCSP 簽署而非程式碼簽署。
**OCSPSigningCertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### OCSPSigningCertificate\_APICSRPassthrough/V1 定義
此範本擴展 OCSPSigningCertificate/V1,以支援 API 和 CSR 傳遞值。
**OCSPSigningCertificate\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### OCSPSigningCertificate\_APIPassthrough/V1 定義
此範本與 `OCSPSigningCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定擴充功能, 會透過 API 將其他擴充功能 AWS 私有 CA 傳遞至憑證。範本中指定的延伸項目一律會覆寫 API 中的延伸項目。
**OCSPSigningCertificate\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### OCSPSigningCertificate\_CSRPassthrough/V1 定義
此範本與 `OCSPSigningCertificate` 範本之間唯一的不同點在於,在此範本中,如果未在範本中指定延伸項目, 會將其他延伸項目從憑證簽署請求 (CSR) AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**OCSPSigningCertificate\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | `CA:FALSE` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵數位簽章 |
| 擴充金鑰用量 | 關鍵、OCSP 簽署 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在範本中。
### RootCACertificate/V1 定義
此範本用來發行自我簽署的根 CA 憑證。CA 憑證包含關鍵的基本限制條件延伸,其中會將 CA 欄位設為 `TRUE`,指定憑證可以用來發行 CA 憑證。範本不會指定路徑長度 ([pathLenConstraint](PcaTerms.md#terms-pathlength)),因為這可能會抑制階層的未來擴展。其中已排除延伸金鑰使用方式,以防止使用 CA 憑證做為 TLS 用戶端或伺服器憑證。因為無法撤銷自我簽署憑證,所以沒有指定任何 CRL 資訊。
**RootCACertificate/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵,`CA:TRUE` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、keyCertSign、CRL 簽章 |
| CRL 分佈點 | N/A |
### RootCACertificate\_APIPassthrough/V1 定義
此範本延伸 RootCACertificate/V1 以支援 API 傳遞值。
**RootCACertificate\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵,`CA:TRUE` |
| 授權金鑰識別符 | 【從 API 傳遞】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、keyCertSign、CRL 簽章 |
| CRL 分佈點\* | N/A |
### BlankRootCACertificate\_APIPassthrough/V1 定義
使用空白根憑證範本,您可以發行僅存在 X.509 基本限制條件的根憑證。這是 AWS 私有 CA 可以發行的最簡單根憑證,但可以使用 API 結構進行自訂。基本限制延伸定義憑證是否為 CA 憑證。空白根憑證範本`TRUE`會對基本限制強制執行 的值,以確保發出根 CA 憑證。
您可以使用空白傳遞根範本來發行需要金鑰用量 (KU) 特定值的根憑證。例如,金鑰用量可能需要 `keyCertSign`和 `cRLSign`,但不需要 `digitalSignature`。與其他非空白根傳遞憑證範本不同,空白根憑證範本允許 KU 延伸的組態,其中 KU 可以是九個支援值 (`digitalSignature`、、`nonRepudiation``keyEncipherment`、`dataEncipherment``keyAgreement`、`keyCertSign``cRLSign`、、 `encipherOnly`和 ) 中的任何一個`decipherOnly`。
**BlankRootCACertificate\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵,`CA:TRUE` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\_PathLen0\_APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\_APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\_PathLen0\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\_PathLen1\_APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\_APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\_PathLen1\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\_PathLen2\_APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\_APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\_PathLen2\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### BlankRootCACertificate\_PathLen3\_APIPassthrough/V1 定義
如需空白根 CA 範本的一般資訊,請參閱 [BlankRootCACertificate\_APIPassthrough/V1 定義](#BlankRootCACertificate_APIPassthrough)。
**BlankRootCACertificate\_PathLen3\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
### SubordinateCACertificate\_PathLen0/V1 定義
此範本用於發行路徑長度為 的次級 CA 憑證`0`。CA 憑證包含關鍵的基本限制條件延伸,其中會將 CA 欄位設為 `TRUE`,指定憑證可以用來發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\_PathLen0/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\*只有在 CA 設定為啟用 CRL 產生時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\_PathLen0\_APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\_PathLen0/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\_PathLen0\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### SubordinateCACertificate\_PathLen0\_APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\_PathLen0/V1,以支援 API 傳遞值。
**SubordinateCACertificate\_PathLen0\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### SubordinateCACertificate\_PathLen0\_CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen0`範本相同:在此範本中,如果未在範本中指定延伸,則 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外擴充功能的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\_PathLen0\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 0` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\_PathLen1/V1 定義
此範本用於發行路徑長度為 的次級 CA 憑證`1`。CA 憑證包含 CA 欄位設定為 的關鍵基本限制延伸`TRUE`,以指定憑證可用於發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\_PathLen1/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\_PathLen1\_APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\_PathLen1/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\_PathLen1\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### SubordinateCACertificate\_PathLen1\_APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\_PathLen0/V1,以支援 API 傳遞值。
**SubordinateCACertificate\_PathLen1\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### SubordinateCACertificate\_PathLen1\_CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen1`範本相同:在此範本中,如果未在範本中指定延伸,則 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外擴充功能的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\_PathLen1\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 1` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\_PathLen2/V1 定義
此範本用來發行路徑長度為 2 的次級 CA 憑證。CA 憑證包含 CA 欄位設定為 的關鍵基本限制延伸`TRUE`,以指定憑證可用於發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\_PathLen2/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\_PathLen2\_APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\_PathLen2/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\_PathLen2\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### SubordinateCACertificate\_PathLen2\_APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\_PathLen2/V1,以支援 API 傳遞值。
**SubordinateCACertificate\_PathLen2\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### SubordinateCACertificate\_PathLen2\_CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen2`範本相同:在此範本中,如果未在範本中指定延伸,則 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\_PathLen2\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 2` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\_PathLen3/V1 定義
此範本用來發行路徑長度為 3 的次級 CA 憑證。CA 憑證包含 CA 欄位設定為 的關鍵基本限制延伸`TRUE`,以指定憑證可用於發行 CA 憑證。其中並未包含延伸金鑰使用方式,該金鑰使用方式會防止將 CA 憑證做為 TLS 用戶端或伺服器憑證使用。
如需認證路徑的詳細資訊,請參閱[對認證路徑設定長度限制條件](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html#length-constraints)。
**SubordinateCACertificate\_PathLen3/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。
### SubordinateCACertificate\_PathLen3\_APICSRPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\_PathLen3/V1,以支援 API 和 CSR 傳遞值。
**SubordinateCACertificate\_PathLen3\_APICSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### SubordinateCACertificate\_PathLen3\_APIPassthrough/V1 定義
此範本延伸 SubordinateCACertificate\_PathLen3/V1,以支援 API 傳遞值。
**SubordinateCACertificate\_PathLen3\_APIPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 API 或 CSR 傳遞】 |
| 主旨 | 【從 API 或 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態傳遞】 |
\* 只有在 CA 設定為啟用 CRL 產生時,才會在範本中包含 CRL 分佈點。
### SubordinateCACertificate\_PathLen3\_CSRPassthrough/V1 定義
此範本與具有一個差異的`SubordinateCACertificate_PathLen3`範本相同:在此範本中,如果未在範本中指定延伸,則 會將憑證簽署請求 (CSR) 中的其他延伸 AWS 私有 CA 傳遞至憑證。範本中指定的延伸一律會覆寫 CSR 中的延伸。
**注意**
包含自訂額外延伸項目的 CSR 必須在 外部建立 AWS 私有 CA。
**SubordinateCACertificate\_PathLen3\_CSRPassthrough/V1**
| X509v3 參數 | Value |
| --- | --- |
| 主體替代名稱 | 【從 CSR 傳遞】 |
| 主旨 | 【從 CSR 傳遞】 |
| 基本限制條件 | 關鍵、`CA:TRUE`、`pathlen: 3` |
| 授權單位金鑰識別符 | 【來自 CA 憑證的 SKI】 |
| 主旨金鑰識別符 | 【衍生自 CSR】 |
| 金鑰用途 | 關鍵、數位簽章、`keyCertSign`、CRL 符號 |
| CRL 分佈點\* | 【從 CA 組態或 CSR 傳遞】 |
\* 只有在 CA 已設為啟用產生 CRL 時,CRL 分佈點才會包含在使用此範本發行的憑證中。