使用指定的证书主体名称、证书主题别名、密钥用法、扩展密钥用法颁发数字证书。
接口说明
默认从 CSR 中获取证书主体名称颁发证书。当指定了证书主体名称时,CSR 中的证书主体名称将失效,即使用指定的证书主体名称颁发证书。
必须根据应用场景指定密钥用法或扩展密钥用法。以下是常见应用场景的应用示例:
- 服务端认证证书
密钥用法:digitalSignature、keyEncipherment
扩展密钥用法:serverAuth
- 客户端认证证书
密钥用法:digitalSignature、keyEncipherment
扩展密钥用法:clientAuth
- mTLS 双向认证证书
密钥用法:digitalSignature、keyEncipherment
扩展密钥用法:serverAuth、clientAuth
- 邮件签名证书
密钥用法:digitalSignature、contentCommitment
扩展密钥用法:emailProtection
注意:合规 CA 由第三方权威机构管理,不支持此接口。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
授权信息
请求参数
名称 | 类型 | 必填 | 描述 | 示例值 |
---|---|---|---|---|
ParentIdentifier | string | 是 | CA 证书识别码。 | 1ed4068c-6f1b-6deb-8e32-3f8439a851cb |
Csr | string | 是 | CSR 内容。您可以通过 OpenSSL 工具或者 Keytool 工具生成 CSR。更多信息,请参见如何制作 CSR 文件。 | -----BEGIN CERTIFICATE REQUEST----- MIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ ... ... ... vbIgMQIhAKHDWD6/WAMbtezAt4bysJ/BZIDz1jPWuUR5GV4TJ/mS -----END CERTIFICATE REQUEST----- |
Validity | string | 是 | 证书有效期。不可超过实例有效期。支持使用相对时间和绝对时间。 相对时间:支持单位年、月、日。
绝对时间:使用 GMT 时间。格式:
| 相对时间: ● 1y ● 3m ● 7d 绝对时间: ● 2006-01-02T15:04:05Z ● 2006-01-02T15:04:05Z/2023-03-09T17:48:13Z |
ApiPassthrough | object | 否 | 透传参数。 | |
Subject | object | 否 | 证书主体名称。 | |
Country | string | 否 | 国家代码。使用 ISO 3166-1 的二位国家代码。参考 ISO 。 | CN |
State | string | 否 | CA 证书关联的组织机构所在省份、直辖市或自治区的名称。 | 浙江省 |
Locality | string | 否 | 组织机构所在城市的名称。支持使用中文、英文字符等。 | 杭州市 |
Organization | string | 否 | 组织机构名称。 | XXX公司 |
OrganizationUnit | string | 否 | 组织机构下部门或分支的名称。 | XXX部门 |
CommonName | string | 否 | 证书使用者的通用名称。 | 张三 |
CustomAttributes | array<object> | 否 | 自定义证书的 Subject 属性。 | |
object | 否 | |||
ObjectIdentifier | string | 否 | 自定义属性键值,需符合行业标准。如:
| 2.5.4.3 |
Value | string | 否 | 自定义属性属性值。 | Aliyun |
Extensions | object | 否 | 证书扩展项。 | |
KeyUsage | object | 否 | 密钥用法。 | |
DigitalSignature | boolean | 否 | 数字签名。允许使用证书私钥进行数字签名,允许使用证书公钥验证数字签名。 | true |
ContentCommitment | boolean | 否 | 内容承诺。原名称 NonRepudiation。允许证书密钥用于内容承诺。 | false |
NonRepudiation | boolean | 否 | 抗抵赖。X.509 标准中已更名为 ContentCommitment。 | false |
KeyEncipherment | boolean | 否 | 密钥加密。允许证书密钥加密保护其他密钥。 | false |
DataEncipherment | boolean | 否 | 数据加密。 | false |
KeyAgreement | boolean | 否 | 密钥协商。 | false |
EncipherOnly | boolean | 否 | 在 KeyAgreement 为 true 时,用于标记该证书密钥只能用于加密。 | false |
DecipherOnly | boolean | 否 | 在 KeyAgreement 为 true 时,用于标记该证书密钥只能用于解密。 | false |
ExtendedKeyUsages | array | 否 | 扩展密钥用法。 | |
string | 否 | 允许使用以下值:
| 1.3.6.1.4.1.311.20.2.2 | |
SubjectAlternativeNames | array<object> | 否 | 证书主体别名。 | |
object | 否 | 证书主体别名。 | ||
Type | string | 是 | 允许使用以下值:
| dNSName |
Value | string | 否 | 符合 Type 定义的值。 | rfc822Name: example.aliyundoc.com dNSName: learn.aliyundoc.com uniformResourceIdentifier: acs:ecs:regionid:15619224785*****:instance/i-bp1bzvz55uz27hf***** iPAddress: 127.0.0.1 |
Criticals | array | 否 | 如果是必要参数,则 criticals 列表中包含参数名。 | |
string | 否 | 必要参数的参数名,如 ExtendedKeyUsages。 | ExtendedKeyUsages | |
SerialNumber | string | 否 | 自定义证书的序列号(必须是长整型)。 | 16889526086333 |
Immediately | integer | 否 | 立即获取证书。
| 0 |
EnableCrl | long | 否 | 是否包含 CRL 地址
| 1 |
返回参数
示例
正常返回示例
JSON
格式
{
"Identifier": "160ae6bb538d538c70c01f81dcf2****",
"Certificate": "-----BEGIN CERTIFICATE-----\nMIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/\n...\n...\n...\nKOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==\n-----END CERTIFICATE-----",
"CertificateChain": "-----BEGIN CERTIFICATE-----\nMIIBfzCCATGgAwIBAgIUfI5kSdcO2S0+LkpdL3b2VUJG10YwBQYDK2VwMDUxCzAJ\n...\n...\n...\nZYYG\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\nMIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ\n...\n...\n...\nKL5cUmF\n-----END CERTIFICATE-----",
"SerialNumber": "084bde9cd233f0ddae33adc438cfbbbd****",
"RequestId": "12345678-1234-1234-1234-123456789ABC"
}
错误码
访问错误中心查看更多错误码。
变更历史
变更时间 | 变更内容概要 | 操作 |
---|---|---|
2023-10-16 | API 内部配置变更,不影响调用 | 查看变更详情 |
2023-09-05 | OpenAPI 描述信息更新、OpenAPI 入参发生变更 | 查看变更详情 |