CreateCustomCertificate - 颁发自定义证书

使用指定的证书主体名称、证书主题别名、密钥用法、扩展密钥用法颁发数字证书。

接口说明

默认从CSR中获取证书主体名称颁发证书。当指定了证书主体名称时,CSR中的证书主体名称将失效,即使用指定的证书主体名称颁发证书。

必须根据应用场景指定密钥用法或扩展密钥用法。以下是常见应用场景的应用示例:

  • 服务端认证证书

密钥用法:digitalSignature、keyEncipherment

扩展密钥用法:serverAuth

  • 客户端认证证书

密钥用法:digitalSignature、keyEncipherment

扩展密钥用法:clientAuth

  • mTLS双向认证证书

密钥用法:digitalSignature、keyEncipherment

扩展密钥用法:serverAuth、clientAuth

  • 邮件签名证书

密钥用法:digitalSignature、contentCommitment

扩展密钥用法:emailProtection

注意:合规CA由第三方权威机构管理,不支持此接口。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
yundun-cert:CreateCustomCertificateWrite
  • SSLCertificatesService
    acs:yundun-cert:*:{#accountId}:*

请求参数

名称类型必填描述示例值
ParentIdentifierstring

CA证书识别码。

1ed4068c-6f1b-6deb-8e32-3f8439a851cb
Csrstring

CSR内容。您可以通过OpenSSL工具或者Keytool工具生成CSR。更多信息,请参见如何制作CSR文件

-----BEGIN CERTIFICATE REQUEST----- MIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ ... ... ... vbIgMQIhAKHDWD6/WAMbtezAt4bysJ/BZIDz1jPWuUR5GV4TJ/mS -----END CERTIFICATE REQUEST-----
Validitystring

证书有效期。不可超过实例有效期。支持使用相对时间和绝对时间。

相对时间:支持单位年、月、日。

  • 年 - y
  • 月 - m
  • 日 - d

绝对时间:使用GMT时间。格式:yyyy-MM-dd'T'HH:mm:ss'Z'

  • 指定结束时间 - $NotAfter
  • 指定开始时间和结束时间 - $NotBefore/$NotAfter
相对时间: ● 1y ● 3m ● 7d 绝对时间: ● 2006-01-02T15:04:05Z ● 2006-01-02T15:04:05Z/2023-03-09T17:48:13Z
ApiPassthroughobject

透传参数。

Subjectobject

证书主体名称。

Countrystring

国家代码。使用ISO 3166-1的二位国家代码。参考 https://www.iso.org/obp/ui/#search/code/

CN
Statestring

CA证书关联的组织机构所在省份、直辖市或自治区的名称。

浙江省
Localitystring

组织机构所在城市的名称。支持使用中文、英文字符等。

杭州市
Organizationstring

组织机构名称。

XXX公司
OrganizationUnitstring

组织机构下部门或分支的名称。

XXX部门
CommonNamestring

证书使用者的通用名称。

张三
Extensionsobject

证书扩展项。

KeyUsageobject

密钥用法。

DigitalSignatureboolean

数字签名。允许使用证书私钥进行数字签名,允许使用证书公钥验证数字签名。

true
ContentCommitmentboolean

内容承诺。原名称NonRepudiation。允许证书密钥用于内容承诺。

false
NonRepudiationboolean

抗抵赖。X.509标准中已更名为ContentCommitment。

false
KeyEnciphermentboolean

密钥加密。允许证书密钥加密保护其他密钥。

false
DataEnciphermentboolean

数据加密。

false
KeyAgreementboolean

密钥协商。

false
EncipherOnlyboolean

在KeyAgreement为true时,用于标记该证书密钥只能用于加密。

false
DecipherOnlyboolean

在KeyAgreement为true时,用于标记该证书密钥只能用于解密。

false
ExtendedKeyUsagesarray

扩展密钥用法。

string

允许使用以下值:

  • any
  • serverAuth - 服务器认证
  • clientAuth - 客户端认证
  • codeSigning - 代码签名
  • emailProtection - 邮件保护
  • timeStamping - 时间戳
  • OCSPSigning - OCSP签名
  • 其他扩展密钥用法OID
1.3.6.1.4.1.311.20.2.2
SubjectAlternativeNamesarray

证书主体别名。

object

证书主体别名。

Typestring

允许使用以下值:

  • rfc822Name - Email地址
  • dNSName - 域名
  • uniformResourceIdentifier - 统一资源标识符(URI)
  • iPAddress - IP地址
dNSName
Valuestring

符合Type定义的值。

rfc822Name: exmaple@certqa.cn dNSName: www.certqa.cn uniformResourceIdentifier: acs:ecs:regionid:15619224785*****:instance/i-bp1bzvz55uz27hf***** iPAddress: 127.0.0.1
Immediatelyinteger

立即获取证书。

  • 0 - 异步颁发证书。
  • 1 - 立即颁发证书。
  • 2 - 立即颁发证书并返回CA证书链。
0

返回参数

名称类型描述示例值
object

OpenApiResponseV1

Identifierstring

证书唯一标识。

160ae6bb538d538c70c01f81dcf2****
Certificatestring

证书内容。 Immediately为1或2时返回。

-----BEGIN CERTIFICATE----- MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/ ... ... ... KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg== -----END CERTIFICATE-----
CertificateChainstring

CA证书链。 Immediately为2时返回。

-----BEGIN CERTIFICATE----- MIIBfzCCATGgAwIBAgIUfI5kSdcO2S0+LkpdL3b2VUJG10YwBQYDK2VwMDUxCzAJ ... ... ... ZYYG -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ ... ... ... KL5cUmF -----END CERTIFICATE-----
SerialNumberstring

证书序列号。 Immediately为1或2时返回。

084bde9cd233f0ddae33adc438cfbbbd****
RequestIdstring

本次调用请求的ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

12345678-1234-1234-1234-123456789ABC

示例

正常返回示例

JSON格式

{
  "Identifier": "160ae6bb538d538c70c01f81dcf2****",
  "Certificate": "-----BEGIN CERTIFICATE-----\nMIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/\n...\n...\n...\nKOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==\n-----END CERTIFICATE-----",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIIBfzCCATGgAwIBAgIUfI5kSdcO2S0+LkpdL3b2VUJG10YwBQYDK2VwMDUxCzAJ\n...\n...\n...\nZYYG\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\nMIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ\n...\n...\n...\nKL5cUmF\n-----END CERTIFICATE-----",
  "SerialNumber": "084bde9cd233f0ddae33adc438cfbbbd****",
  "RequestId": "12345678-1234-1234-1234-123456789ABC"
}

错误码

访问错误中心查看更多错误码。

阿里云首页 数字证书管理服务(原SSL证书) 相关技术圈