翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
RFC 準拠
AWS Private CA は、RFC 5280
強制
-
日付を過ぎると強制されません
。RFC 5280 に準拠して、AWS Private CA は、交付元 CA 認定の交付日よりも後の Not After
Not After
日付を持つ証明書は発行しません。 -
基本的制約
。AWS Private CA は、インポートされた CA 認定に基本的な制約とパスの長さを適用します。 基本的な制約は、証明書によって識別されるリソースが CA であり、証明書を発行できるかどうかを示します。AWS Private CA にインポートされる CA 認定には、基本的制約の拡張を含める必要があり、拡張に
critical
とマークする必要があります。critical
フラグに加えて、CA=true
を設定する必要があります。AWS Private CA は、以下の理由により検証例外に失敗することで、基本的制約を強制します。-
拡張が CA 認定に含まれていない。
-
拡張が
critical
とマークされていない。
パスの長さ (pathLenConstraint) は、インポートされた CAs証明書の下流に存在する可能性のある下位 CA の数を決定します。 は、次の理由で検証例外で失敗することでパスの長さAWS Private CAを適用します。
-
CA 認定をインポートすると、CA 認定またはチェーン内の任意の CA 認定のパスの長さ制約に違反する。
-
証明書を発行すると、パスの長さの制約に違反する。
-
強制されない
-
ポリシーび制約
。これらの制約により、CA の下位 CA 認定を交付する機能が制限されます。 -
サブジェクトキー識別子 (SKI)
と 権限キー識別子 (AKI) 。RFC では、SKI 拡張を含む CA 認定が必要です。CA によって発行された証明書には、CA 認定の SKI に一致する AKI 拡張が含まれている必要があります。AWS はこれらの要件を強制しません。CA 認定に SKI が含まれていない場合、発行されたエンドエンティティまたは下位 CA 認定 AKI は、発行者パブリックキーの SHA-1 ハッシュになります。 -
SubjectPublicKeyInfo
およびサブジェクト代替名 (SAN) 。証明書を発行すると、 は検証を実行せずに、提供された CSR から SubjectPublicKeyInfo および SAN 拡張機能AWS Private CAをコピーします。