了解证书模板

Amazon 私有 CA 使用配置模板颁发 CA 证书和终端实体证书。从 PCA 控制台颁发 CA 证书时，会自动应用相应的根或从属 CA 证书模板。

如果使用 CLI 或 API 颁发证书，则可以提供模板 ARN 作为 IssueCertificate 操作的参数。如果您未提供 ARN，则默认应用 EndEntityCertificate/V1 模板。有关更多信息，请参阅 IssueCertificateAPI 和颁发证书命令文档。

注意

对私有 CA 具有跨账户共享访问权限的 Amazon Certificate Manager（ACM）用户可以颁发由该 CA 签名的托管证书。跨账户颁发者受基于资源的策略的限制，只能访问以下终端实体证书模板：

EndEntityCertificate/V1
EndEntityClientAuthCertificate/V1
EndEntityServerAuthCertificate/V1
BlankEndEntityCertificate_apiPassThrough/v1
BlankEndEntityCertificate_apicsrPassthrough/v1
下属 ca PathLen Certificate_ 0/V1

有关更多信息，请参阅基于资源的策略。

模板种类

Amazon 私有 CA 支持四种模板。

基础模板

不允许使用传递参数的预定义模板。
CSRPassthrough 模板

通过允许 CSR 传递来扩展其相应基础模板版本的模板。用于颁发证书的 CSR 中的扩展将复制到颁发的证书中。如果 CSR 包含与模板定义冲突的扩展值，则模板定义将始终具有更高的优先级。有关优先级的详细信息，请参阅模板操作顺序。
APIPassthrough 模板

通过允许 API 传递来扩展其相应基础模板版本的模板。管理员或其他中间系统已知的动态值可能对请求证书的实体未知，可能无法在模板中定义，也可能在 CSR 中不可用。但是，CA 管理员可以从其他数据来源（例如 Active Directory）检索其他信息来完成请求。例如，如果一台计算机不知道自己属于哪个组织单位，则管理员可以在 Active Directory 中查找信息，然后通过在 JSON 结构中包含该信息来将其添加到证书请求中。

IssueCertificate 操作的 ApiPassthrough 参数中的值将复制到颁发的证书中。如果 ApiPassthrough 参数包含与模板定义冲突的信息，则模板定义将始终具有更高的优先级。有关优先级的详细信息，请参阅模板操作顺序。
APICSRPassthrough 模板

通过允许 API 和 CSR 传递来扩展其相应基础模板版本的模板。用于颁发证书的 CSR 中的扩展将复制到颁发的证书中，且 IssueCertificate 操作的 ApiPassthrough 参数中的值也将复制过来。如果模板定义、API 传递值和 CSR 传递扩展存在冲突，则模板定义的优先级最高，其次是 API 传递值，最后是 CSR 传递扩展。有关优先级的详细信息，请参阅模板操作顺序。

下表列出了 Amazon 私有 CA 支持的所有模板类型及其定义的链接。

注意

有关 GovCloud 区域中模板 ARN 的信息，请参阅Amazon GovCloud (US)用户指南Amazon Private Certificate Authority中的。

基础模板
模板名称	模板 ARN	证书类型
CodeSigningCertificate/V1	`arn:aws:acm-pca:::template/CodeSigningCertificate/V1`	代码签名
EndEntityCertificate/V1	`arn:aws:acm-pca:::template/EndEntityCertificate/V1`	终端实体
EndEntityClientAuthCertificate/V1	`arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1`	终端实体
EndEntityServerAuthCertificate/V1	`arn:aws:acm-pca:::template/EndEntityServerAuthCertificate/V1`	终端实体
OCSP /V1 SigningCertificate	`arn:aws:acm-pca:::template/OCSPSigningCertificate/V1`	OCSP 签名
RootCACertificate/V1	`arn:aws:acm-pca:::template/RootCACertificate/V1`	CA
下属 ca PathLen Certificate_ 0/V1	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1`	CA
下属 CA PathLen 证书 _ 1/V1	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1`	CA
下属 ca PathLen Certificate_ 2/V1	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2/V1`	CA
下属 ca PathLen Certificate_ 3/V1	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3/V1`	CA

CSRPassthrough 模板
模板名称	模板 ARN	证书类型
BlankEndEntityCertificate_csrPassThrough/v1	`arn:aws:acm-pca:::template/BlankEndEntityCertificate_CSRPassthrough/V1`	终端实体
BlankEndEntityCertificate_ CriticalBasicConstraints _csrPassThrough/v1	`arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_CSRPassthrough/V1`	终端实体
BlankSubordinatecacertificate_ 0_csrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_CSRPassthrough/V1`	CA
BlankSubordinatecacertificate_ 1_csrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_CSRPassthrough/V1`	CA
BlankSubordinatecacertificate_ 2_csrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_CSRPassthrough/V1`	CA
BlankSubordinatecacertificate_ 3_csrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_CSRPassthrough/V1`	CA
CodeSigningCertificate_csrPassThrough/v1	`arn:aws:acm-pca:::template/CodeSigningCertificate_CSRPassthrough/V1`	代码签名
EndEntityCertificate_csrPassThrough/v1	`arn:aws:acm-pca:::template/EndEntityCertificate_CSRPassthrough/V1`	终端实体
EndEntityClientAuthCertificate_csrPassThrough/v1	`arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_CSRPassthrough/V1`	终端实体
EndEntityServerAuthCertificate_csrPassThrough/v1	`arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_CSRPassthrough/V1`	终端实体
OCSP _csr SigningCertificate PassThrough/v1	`arn:aws:acm-pca:::template/OCSPSigningCertificate_CSRPassthrough/V1`	OCSP 签名
subplinatecaCertificate_ 0_csrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_CSRPassthrough/V1`	CA
subplinatecaCertificate_ 1_csrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_CSRPassthrough/V1`	CA
subplinatecaCertificate_ 2_csrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_CSRPassthrough/V1`	CA
subplinateCacertificate_ 3_csrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_CSRPassthrough/V1`	CA

APIPassthrough 模板
模板名称	模板 ARN	证书类型
BlankEndEntityCertificate_apiPassThrough/v1	`arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1`	终端实体
BlankEndEntityCertificate_ CriticalBasicConstraints _apiPassThrough/v1	`arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APIPassthrough/V1`	终端实体
CodeSigningCertificate_apiPassThrough/v1	`arn:aws:acm-pca:::template/CodeSigningCertificate_APIPassthrough/V1`	代码签名
EndEntityCertificate_apiPassThrough/v1	`arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1`	终端实体
EndEntityClientAuthCertificate_apiPassThrough/v1	`arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APIPassthrough/V1`	终端实体
EndEntityServerAuthCertificate_apiPassThrough/v1	`arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APIPassthrough/V1`	终端实体
OCSP _api SigningCertificate PassThrough/v1	`arn:aws:acm-pca:::template/OCSPSigningCertificate_APIPassthrough/V1`	OCSP 签名
RootCACertificate_APIPassthrough/V1	`arn:aws:acm-pca:::template/RootCACertificate_APIPassthrough/V1`	CA
BlankRootcacertificate_apiPassThrough/v1	`arn:aws:acm-pca:::template/BlankRootCACertificate_APIPassthrough/V1`	CA
BlankRootcacertificate_ 0_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen0_APIPassthrough/V1`	CA
BlankRootcacertificate_ 1_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen1_APIPassthrough/V1`	CA
BlankRootcacertificate_ 2_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen2_APIPassthrough/V1`	CA
BlankRootcacertificate_ 3_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankRootCACertificate_PathLen3_APIPassthrough/V1`	CA
subplinatecaCertificate_ 0_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APIPassthrough/V1`	CA
BlankSubordinatecacertificate_ 0_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APIPassthrough/V1`	CA
subplinateCacertificate_ 1_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APIPassthrough/V1`	CA
BlankSubordinatecacertificate_ 1_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APIPassthrough/V1`	CA
subplinateCacertificate_ 2_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APIPassthrough/V1`	CA
BlankSubordinatecacertificate_ 2_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APIPassthrough/V1`	CA
subplinateCacertificate_ 3_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APIPassthrough/V1`	CA
BlankSubordinatecacertificate_ 3_apiPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APIPassthrough/V1`	CA

APICSRPassthrough 模板
模板名称	模板 ARN	证书类型
BlankEndEntityCertificate_apicsrPassthrough/v1	`arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V1`	终端实体

BlankEndEntityCertificate_ CriticalBasicConstraints _apicsrPassThrough/v1	`arn:aws:acm-pca:::template/BlankEndEntityCertificate_CriticalBasicConstraints_APICSRPassthrough/V1`	终端实体
CodeSigningCertificate_apicsrPassthrough/v1	`arn:aws:acm-pca:::template/CodeSigningCertificate_APICSRPassthrough/V1`	代码签名
EndEntityCertificate_apicsrPassthrough/v1	`arn:aws:acm-pca:::template/EndEntityCertificate_APICSRPassthrough/V1`	终端实体
EndEntityClientAuthCertificate_apicsrPassthrough/v1	`arn:aws:acm-pca:::template/EndEntityClientAuthCertificate_APICSRPassthrough/V1`	终端实体
EndEntityServerAuthCertificate_apicsrPassthrough/v1	`arn:aws:acm-pca:::template/EndEntityServerAuthCertificate_APICSRPassthrough/V1`	终端实体
OCSP _apicsr SigningCertificate PassThrough/v1	`arn:aws:acm-pca:::template/OCSPSigningCertificate_APICSRPassthrough/V1`	OCSP 签名
subplinatecaCertificate_ 0_apicsrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0_APICSRPassthrough/V1`	CA
BlankSubordinatecacertificate_ 0_apicsrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen0_APICSRPassthrough/V1`	CA
subplinatecaCertificate_ 1_apicsrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1_APICSRPassthrough/V1`	CA
BlankSubordinatecacertificate_ 1_apicsrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen1_APICSRPassthrough/V1`	CA
subplinatecaCertificate_ 2_apicsrPassThrough/ 3_apipassThrough v1 PathLen PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen2_APICSRPassthrough/V1`	CA
BlankSubordinatecacertificate_ 2_apicsrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen2_APICSRPassthrough/V1`	CA
subplinatecaCertificate_ 3_apicsrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen3_APICSRPassthrough/V1`	CA
BlankSubordinatecacertificate_ 3_apicsrPassThrough/v1 PathLen	`arn:aws:acm-pca:::template/BlankSubordinateCACertificate_PathLen3_APICSRPassthrough/V1`	CA

模板操作顺序

颁发的证书中包含的信息可能来自四个来源：模板定义、API 传递、CSR 传递和 CA 配置。

只有在使用 API 传递或 APICSR 传递模板时，才会重视 API 传递值。只有在使用 CSRPassthrough 或 APICSR 传递模板时，才会重视 CSR 传递。当这些信息来源发生冲突时，通常适用一般规则：对于每个扩展值，模板定义的优先级最高，其次是 API 传递值，最后是 CSR 传递扩展。

示例

EndEntityClientAuthCertificate_apiPass Through 的模板定义的 ExtendedKeyUsage 扩展名值为 “TLS Web 服务器身份验证，TLS Web 客户端身份验证”。如果在 CSR 或IssueCertificateApiPassthrough参数中定义， ExtendedKeyUsage 则 ExtendedKeyUsage 将忽略的ApiPassthrough值，因为模板定义具有优先级；值的 CSR ExtendedKeyUsage 值将被忽略，因为该模板不是 CSR 直通变体。

注意
尽管如此，模板定义还是复制了 CSR 中的其他值，例如使用者和使用者备用名称。尽管模板并非 CSR 传递种类，但这些值仍取自 CSR，因为模板定义始终具有最高优先级。
EndEntityClientAuthCertificate_apicsrPass Through 的模板定义将主题备用名称 (SAN) 扩展定义为从 API 或 CSR 中复制。如果在 CSR 中定义了 SAN 扩展并在 IssueCertificate ApiPassthrough 参数中提供，则 API 传递值将优先，因为 API 传递值优先于 CSR 传递值。

模板定义

以下各节提供了有关支持的 Amazon 私有 CA 证书模板的配置详细信息。

BlankEndEntityCertificate_apiPassThrough/v1 定义

使用空白的终端实体证书模板，您可以颁发仅存在 X.509 基本约束的终端实体证书。这是 Amazon 私有 CA 可以颁发的最简单的终端实体证书，但可以使用 API 结构对其进行自定义。基本约束扩展定义该证书是否为 CA 证书。空白的终端实体证书模板将基本约束的值强制设置为 FALSE，以确保颁发的是终端实体证书，而不是 CA 证书。

您可以使用空白的直通模板来颁发需要密钥用法 (KU) 和扩展密钥用法 (EKU) 特定值的智能卡证书。例如，扩展密钥用法可能需要“客户端身份验证”和“智能卡登录”，而密钥用法可能需要“数字签名”、“不可否认”和“密钥加密”。与其他直通模板不同，空白的终端实体证书模板允许配置 KU 和 EKU 扩展，其中 KU 可以是九个支持的值（DigitalSignature、NonRepudiation、KeyenCipherment、DataEncipherment、KeyAgrement、、CrlSign、EncipherOnly 和 DecipherOnly），EKU 可以是任何支持的值（ServerAuth、ClientAuth keyCertSign、codesigning、emaDesigning、iLProtection、时间戳和 ocspSigning）以及自定义扩展程序。

BlankEndEntityCertificate_apiPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	CA:FALSE
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankEndEntityCertificate_apicsrPassThrough/v1 定义

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankEndEntityCertificate_apicsrPassthrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	CA:FALSE
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankEndEntityCertificate_ CriticalBasicConstraints _apicsrPassThrough/v1 定义

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankEndEntityCertificate_ CriticalBasicConstraints _apicsrPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、CA:FALSE
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置、API 或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankEndEntityCertificate_ CriticalBasicConstraints _apiPassThrough/v1 定义

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankEndEntityCertificate_ CriticalBasicConstraints _apiPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、CA:FALSE
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 API 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankEndEntityCertificate_ CriticalBasicConstraints _csrPassThrough/v1 定义

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankEndEntityCertificate_ CriticalBasicConstraints _csrPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、CA:FALSE
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankEndEntityCertificate_csrPassThrough/v1 定义

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankEndEntityCertificate_csrPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	CA:FALSE
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 0_csrPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 0_csrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 0`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 0_apicsrPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 0_apicsrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 0`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 0_apiPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 0_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 0`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置传递]

BlankSubordinatecacertificate_ 1_apiPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 1_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 1`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 1_csrPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 1_csrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 1`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 1_apicsrPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 1_apicsrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 1`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 2_apiPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 2_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 2`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 2_csrPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 2_csrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 2`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 2_apicsrPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 2_apicsrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 2`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 3_apiPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 3_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 3`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 3_csrPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 3_csrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 3`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

BlankSubordinatecacertificate_ 3_apicsrPassThrough/v1 定义 PathLen

有关空白模板的一般信息，请参阅 BlankEndEntityCertificate_apiPassThrough/v1 定义。

BlankSubordinatecacertificate_ 3_apicsrPassThrough PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 3`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

CodeSigningCertificate/V1 的定义

使用此模板可以创建用于代码签名的证书。您可以将来自 Amazon 私有 CA 的代码签名证书与任何基于私有 CA 基础设施的代码签名解决方案一起使用。例如，使用 Code Signing for Amazon IoT 的客户可以使用 Amazon 私有 CA 生成代码签名证书并将其导入到 Amazon Certificate Manager。有关更多信息，请参阅代码签名的用途Amazon IoT？以及获取并导入代码签名证书。

CodeSigningCertificate/V1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	`CA:FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature
扩展密钥用法	Critical、code signing
CRL 分发点*	[从 CA 配置传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

CodeSigningCertificate_apicsrPassThrough/v1 定义

此模板扩展了 CodeSigningCertificate /V1 以支持 API 和 CSR 直通值。

CodeSigningCertificate_apicsrPassthrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	`CA:FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature
扩展密钥用法	Critical、code signing
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

CodeSigningCertificate_apiPassThrough/v1 定义

此模板与 CodeSigningCertificate 模板相同，但有一点区别：在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 通过 API 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 API 中的扩展。

CodeSigningCertificate_apiPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	`CA:FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature
扩展密钥用法	Critical、code signing
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

CodeSigningCertificate_csrPassThrough/v1 定义

此模板与 CodeSigningCertificate 模板相同，但有一点区别：在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会从证书签名请求 (CSR) 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 CSR 中的扩展。

CodeSigningCertificate_csrPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	`CA:FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature
扩展密钥用法	Critical、code signing
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityCertificate/V1 的定义

此模板用于为终端实体（如操作系统或 Web 服务器）创建证书。

EndEntityCertificate/V1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 服务器身份验证、TLS Web 客户端身份验证
CRL 分发点*	[从 CA 配置传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityCertificate_apicsrPassThrough/v1 定义

此模板扩展了 EndEntityCertificate /V1 以支持 API 和 CSR 直通值。

EndEntityCertificate_apicsrPassthrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 服务器身份验证、TLS Web 客户端身份验证
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityCertificate_apiPassThrough/v1 定义

此模板与 EndEntityCertificate 模板相同，但有一点区别：在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 通过 API 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 API 中的扩展。

EndEntityCertificate_apiPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 服务器身份验证、TLS Web 客户端身份验证
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityCertificate_csrPassThrough/v1 定义

此模板与 EndEntityCertificate 模板相同，但有一点区别：在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会从证书签名请求 (CSR) 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 CSR 中的扩展。

EndEntityCertificate_csrPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 服务器身份验证、TLS Web 客户端身份验证
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityClientAuthCertificate/V1 的定义

此模板与 EndEntityCertificate 仅在扩展密钥用法值上不同，此模板将值限制为 TLS Web 客户端身份验证。

EndEntityClientAuthCertificate/V1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 客户端身份验证
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityClientAuthCertificate_apicsrPassThrough/v1 定义

此模板扩展了 EndEntityClientAuthCertificate /V1 以支持 API 和 CSR 直通值。

EndEntityClientAuthCertificate_apicsrPassthrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 客户端身份验证
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityClientAuthCertificate_apiPassThrough/v1 定义

此模板与 EndEntityClientAuthCertificate 模板相同，但有一点区别。在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会通过 API 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 API 中的扩展。

EndEntityClientAuthCertificate_apiPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 客户端身份验证
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityClientAuthCertificate_csrPassThrough/v1 定义

此模板与 EndEntityClientAuthCertificate 模板相同，但有一点区别。在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会从证书签名请求 (CSR) 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 CSR 中的扩展。

EndEntityClientAuthCertificate_csrPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 客户端身份验证
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityServerAuthCertificate/V1 的定义

此模板与 EndEntityCertificate 仅在扩展密钥用法值上不同，此模板将值限制为 TLS Web 服务器身份验证。

EndEntityServerAuthCertificate/V1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 服务器身份验证
CRL 分发点*	[从 CA 配置传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityServerAuthCertificate_apicsrPassThrough/v1 定义

此模板扩展了 EndEntityServerAuthCertificate /V1 以支持 API 和 CSR 直通值。

EndEntityServerAuthCertificate_apicsrPassthrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 服务器身份验证
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityServerAuthCertificate_apiPassThrough/v1 定义

此模板与 EndEntityServerAuthCertificate 模板相同，但有一点区别。在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会通过 API 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 API 中的扩展。

EndEntityServerAuthCertificate_apiPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 服务器身份验证
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

EndEntityServerAuthCertificate_csrPassThrough/v1 定义

此模板与 EndEntityServerAuthCertificate 模板相同，但有一点区别。在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会从证书签名请求 (CSR) 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 CSR 中的扩展。

EndEntityServerAuthCertificate_csrPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	CA:`FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、key encipherment
扩展密钥用法	TLS Web 服务器身份验证
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

OCSP SigningCertificate /V1 的定义

使用此模板可以创建用于 OCSP 响应签名的证书。此模板与 CodeSigningCertificate 模板相同，只是扩展密钥用法值指定 OCSP 签名而不是代码签名。

OCSP /V1 SigningCertificate
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	`CA:FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature
扩展密钥用法	Critical、OCSP signing
CRL 分发点*	[从 CA 配置传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

OCSP SigningCertificate _apicsrPassThrough/v1 定义

此模板扩展了 OCSP SigningCertificate /V1 以支持 API 和 CSR 直通值。

OCSP _apicsr SigningCertificate PassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	`CA:FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature
扩展密钥用法	Critical、OCSP signing
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

OCSP SigningCertificate _apiPassThrough/v1 定义

此模板与 OCSPSigningCertificate 模板相同，但有一点区别。在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会通过 API 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 API 中的扩展。

OCSP _api SigningCertificate PassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	`CA:FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature
扩展密钥用法	Critical、OCSP signing
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

OCSP SigningCertificate _csrPassThrough/v1 定义

此模板与 OCSPSigningCertificate 模板相同，但有一点区别。在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会从证书签名请求 (CSR) 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 CSR 中的扩展。

OCSP _csr SigningCertificate PassThrough/v1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	`CA:FALSE`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature
扩展密钥用法	Critical、OCSP signing
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

RootCACertificate/V1 定义

此模板用于颁发自签名根 CA 证书。CA 证书包括一个关键的基本约束扩展，该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。模板未指定路径长度 (pathLenConstraint)，因为这可能会阻碍层次结构的未来扩展。排除扩展密钥用法，以防止将 CA 证书用作 TLS 客户端或服务器证书。未指定 CRL 信息，因为无法吊销自签名证书。

RootCACertificate/V1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`
使用者密钥标识符	[派生自 CSR]
密钥用法	关键签名、数字签名 keyCertSign、CRL 签名
CRL 分发点	不适用

RootCACertificate_APIPassthrough/V1 定义

此模板扩展了 RootCACertificate/V1 以支持 API 传递值。

RootCACertificate_APIPassthrough/V1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`
授权密钥标识符	[从 API 传递]
使用者密钥标识符	[派生自 CSR]
密钥用法	关键签名、数字签名 keyCertSign、CRL 签名
CRL 分发点*	不适用

BlankRootcacertificate_apiPassThrough/v1 定义

如果根证书模板为空，则可以在仅存在 X.509 基本限制的情况下颁发根证书。这是Amazon 私有 CA可以颁发的最简单的根证书，但可以使用 API 结构对其进行自定义。基本约束扩展定义证书是否为 CA 证书。为确保颁发根 CA 证书，空白TRUE的根证书模板会强制使用基本约束的值。

您可以使用空白的直通根模板来颁发需要特定密钥用法 (KU) 值的根证书。例如，密钥的使用可能需要keyCertSign和cRLSign，但不需要digitalSignature。与其他非空白根直通证书模板不同，空白根证书模板允许配置 KU 扩展，其中 KU 可以是九个支持的值（digitalSignature、、、、、、nonRepudiation、keyEncipherment、dataEnciphermentkeyAgreementkeyCertSigncRLSignencipherOnly、和decipherOnly）中的任何一个。

BlankRootcacertificate_apiPassThrough/v1
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`
使用者密钥标识符	[派生自 CSR]

BlankRootcacertificate_ 0_apiPassThrough/v1 定义 PathLen

有关空白根 CA 模板的一般信息，请参阅BlankRootcacertificate_apiPassThrough/v1 定义。

BlankRootcacertificate_ 0_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 0`
使用者密钥标识符	[派生自 CSR]

BlankRootcacertificate_ 1_apiPassThrough/v1 定义 PathLen

有关空白根 CA 模板的一般信息，请参阅BlankRootcacertificate_apiPassThrough/v1 定义。

BlankRootcacertificate_ 1_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 1`
使用者密钥标识符	[派生自 CSR]

BlankRootcacertificate_ 2_apiPassThrough/v1 定义 PathLen

有关空白根 CA 模板的一般信息，请参阅BlankRootcacertificate_apiPassThrough/v1 定义。

BlankRootcacertificate_ 2_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 2`
使用者密钥标识符	[派生自 CSR]

BlankRootcacertificate_ 3_apiPassThrough/v1 定义 PathLen

有关空白根 CA 模板的一般信息，请参阅BlankRootcacertificate_apiPassThrough/v1 定义。

BlankRootcacertificate_ 3_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 3`
使用者密钥标识符	[派生自 CSR]

subplinateCacertificate_ 0/V1 定义 PathLen

此模板用于颁发路径长度为的从属 CA 证书0。CA 证书包括一个关键的基本约束扩展，该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法，以防止 CA 证书用作 TLS 客户端或服务器证书。

有关认证路径的更多信息，请参阅设置认证路径的长度约束。

下属 ca PathLen Certificate_ 0/V1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 0`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置传递]

*仅当 CA 配置为启用 CRL 生成时，才会将 CRL 分发点包含在使用此模板颁发的证书中。

subplinateCacertificate_ 0_apicsrPassThrough/v1 定义 PathLen

此模板扩展了 subliteCacertificate_ PathLen 0/V1 以支持 API 和 CSR 直通值。

subplinatecaCertificate_ 0_apicsrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 0`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

subplinateCacertificate_ 0_apiPassThrough/v1 定义 PathLen

此模板扩展了 subliteCacertificate_ 0/V1 以支持 PathLen API 直通值。

subplinatecaCertificate_ 0_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 0`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

subplinateCacertificate_ 0_csrPassThrough/v1 定义 PathLen

此模板与 SubordinateCACertificate_PathLen0 模板相同，但有一点区别：在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会从证书签名请求 (CSR) 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 CSR 中的扩展。

注意

包含自定义附加扩展的 CSR 必须在 Amazon 私有 CA 外部创建。

subplinatecaCertificate_ 0_csrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 0`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在使用此模板颁发的证书中。

subplinatecaCertificate_ 1/V1 定义 PathLen

此模板用于颁发路径长度为的从属 CA 证书1。CA 证书包括一个关键的基本约束扩展，该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法，以防止 CA 证书用作 TLS 客户端或服务器证书。

有关认证路径的更多信息，请参阅设置认证路径的长度约束。

下属 CA PathLen 证书 _ 1/V1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 1`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在使用此模板颁发的证书中。

subplinatecaCertificate_ 1_apicsrPassThrough/v1 定义 PathLen

此模板扩展了 subliteCacertificate_ PathLen 1/V1 以支持 API 和 CSR 直通值。

subplinatecaCertificate_ 1_apicsrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 1`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

subplinateCacertificate_ 1_apiPassThrough/v1 定义 PathLen

此模板扩展了 subliteCacertificate_ 0/V1 以支持 PathLen API 直通值。

subplinateCacertificate_ 1_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 1`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

subplinateCacertificate_ 1_csrPassThrough/v1 定义 PathLen

此模板与 SubordinateCACertificate_PathLen1 模板相同，但有一点区别：在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会从证书签名请求 (CSR) 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 CSR 中的扩展。

注意

包含自定义附加扩展的 CSR 必须在 Amazon 私有 CA 外部创建。

subplinatecaCertificate_ 1_csrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 1`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在使用此模板颁发的证书中。

subplinatecaCertificate_ 2/V1 定义 PathLen

此模板用于颁发路径长度为 2 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展，该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法，以防止 CA 证书用作 TLS 客户端或服务器证书。

有关认证路径的更多信息，请参阅设置认证路径的长度约束。

下属 ca PathLen Certificate_ 2/V1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 2`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在使用此模板颁发的证书中。

subplinatecaCertificate_ 2_apicsrPassThrough/v1 定义 PathLen

此模板扩展了 subliteCacertificate_ PathLen 2/V1 以支持 API 和 CSR 直通值。

subplinatecaCertificate_ 2_apicsrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 2`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

subplinateCacertificate_ 2_apiPassThrough/v1 定义 PathLen

此模板扩展了 sublicateCertificate_ PathLen 2/V1 以支持 API 直通值。

subplinateCacertificate_ 2_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 2`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

subplinateCacertificate_ 2_csrPassThrough/v1 定义 PathLen

此模板与 SubordinateCACertificate_PathLen2 模板相同，但有一点区别：在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会从证书签名请求 (CSR) 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 CSR 中的扩展。

注意

包含自定义附加扩展的 CSR 必须在 Amazon 私有 CA 外部创建。

subplinatecaCertificate_ 2_csrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 2`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在使用此模板颁发的证书中。

subplinatecaCertificate_ 3/V1 定义 PathLen

此模板用于颁发路径长度为 3 的从属 CA 证书。CA 证书包括一个关键的基本约束扩展，该扩展中的 CA 字段设置为 TRUE 以指定证书可用于颁发 CA 证书。不包括扩展密钥用法，以防止 CA 证书用作 TLS 客户端或服务器证书。

有关认证路径的更多信息，请参阅设置认证路径的长度约束。

下属 ca PathLen Certificate_ 3/V1
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 3`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在使用此模板颁发的证书中。

subplinatecaCertificate_ 3_apicsrPassThrough/v1 定义 PathLen

此模板扩展了 subliteCacertificate_ PathLen 3/V1，以支持 API 和 CSR 直通值。

subplinatecaCertificate_ 3_apicsrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 3`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置或 CSR 传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

subplinateCacertificate_ 3_apiPassThrough/v1 定义 PathLen

此模板扩展了 sublicateCertificate_ PathLen 3/V1 以支持 API 直通值。

subplinateCacertificate_ 3_apiPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 API 或 CSR 传递]
主题	[从 API 或 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 3`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置传递]

* 只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在模板中。

subplinateCacertificate_ 3_csrPassThrough/v1 定义 PathLen

此模板与 SubordinateCACertificate_PathLen3 模板相同，但有一点区别：在此模板中，如果未在模板中指定扩展，则 Amazon 私有 CA 会从证书签名请求 (CSR) 将其他扩展传递到证书。此模板中指定的扩展始终覆盖 CSR 中的扩展。

注意

包含自定义附加扩展的 CSR 必须在 Amazon 私有 CA 外部创建。

subplinateCacertificate_ 3_csrPassThrough/v1 PathLen
X509v3 参数	值
使用者备用名称	[从 CSR 传递]
主题	[从 CSR 传递]
基本约束	Critical、`CA:TRUE`、`pathlen: 3`
授权密钥标识符	[来自 CA 证书的 SKI]
使用者密钥标识符	[派生自 CSR]
密钥用法	Critical、digital signature、`keyCertSign`、CRL sign
CRL 分发点*	[从 CA 配置或 CSR 传递]

*只有在配置 CA 时启用了 CRL 生成，CRL 分发点才会包含在使用此模板颁发的证书中。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

自动导出

使用 API（Java 示例）