Amazon Private CA 模板操作顺序 - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Private CA 模板操作顺序

已颁发的证书中包含的信息可能来自四个来源:模板定义、API直通、CSR直通和 CA 配置。

API只有在使用直通模板或直API通模板时,才会考虑直APICSR通值。CSR只有在使用CSRPassthrough或直通模板时,才会考虑APICSR直通。当这些信息来源发生冲突时,通常适用一般规则:对于每个扩展值,模板定义的优先级最高,其次是API直通值,然后是CSR直通扩展名。

示例

  1. EndEntityClientAuthCertificate_ 的模板定义APIPassthrough定义的 ExtendedKeyUsage 扩展名值为 “TLSWeb 服务器身份验证,TLSWeb 客户端身份验证”。如果在CSR或IssueCertificateApiPassthrough参数中定义, ExtendedKeyUsage 则 ExtendedKeyUsage 将忽略的ApiPassthrough值,因为模板定义具有优先级;CSR ExtendedKeyUsage 值将被忽略,因为模板不是CSR直通变体。

    注意

    尽管如此,模板定义还是复制了中的其他值CSR,例如主题和主题备用名称。CSR尽管模板不是CSR直通变体,但这些值仍取自,因为模板定义始终具有最高优先级。

  2. EndEntityClientAuthCertificate_ 的模板APICSRPassthrough定义将主题备用名称 (SAN) 扩展名定义为从API或中复制CSR。如果SAN扩展名在中定义CSR并在IssueCertificate ApiPassthrough参数中提供,则API直通值将优先,因为API直通值优先于CSR直通值。