本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Private CA 模板操作顺序
已颁发的证书中包含的信息可能来自四个来源:模板定义、API直通、CSR直通和 CA 配置。
API只有在使用直通模板或直API通模板时,才会考虑直APICSR通值。CSR只有在使用CSRPassthrough或直通模板时,才会考虑APICSR直通。当这些信息来源发生冲突时,通常适用一般规则:对于每个扩展值,模板定义的优先级最高,其次是API直通值,然后是CSR直通扩展名。
示例
-
EndEntityClientAuthCertificate_ 的模板定义APIPassthrough定义的 ExtendedKeyUsage 扩展名值为 “TLSWeb 服务器身份验证,TLSWeb 客户端身份验证”。如果在CSR或
IssueCertificate
ApiPassthrough
参数中定义, ExtendedKeyUsage 则 ExtendedKeyUsage 将忽略的ApiPassthrough
值,因为模板定义具有优先级;CSR ExtendedKeyUsage 值将被忽略,因为模板不是CSR直通变体。注意
尽管如此,模板定义还是复制了中的其他值CSR,例如主题和主题备用名称。CSR尽管模板不是CSR直通变体,但这些值仍取自,因为模板定义始终具有最高优先级。
-
EndEntityClientAuthCertificate_ 的模板APICSRPassthrough定义将主题备用名称 (SAN) 扩展名定义为从API或中复制CSR。如果SAN扩展名在中定义CSR并在
IssueCertificate
ApiPassthrough
参数中提供,则API直通值将优先,因为API直通值优先于CSR直通值。