CreateCustomCertificate - 颁发自定义证书

使用指定的证书主体名称、证书主题别名、密钥用法、扩展密钥用法颁发数字证书。

接口说明

默认从 CSR 中获取证书主体名称颁发证书。当指定了证书主体名称时,CSR 中的证书主体名称将失效,即使用指定的证书主体名称颁发证书。

必须根据应用场景指定密钥用法或扩展密钥用法。以下是常见应用场景的应用示例:

  • 服务端认证证书

密钥用法:digitalSignature、keyEncipherment

扩展密钥用法:serverAuth

  • 客户端认证证书

密钥用法:digitalSignature、keyEncipherment

扩展密钥用法:clientAuth

  • mTLS 双向认证证书

密钥用法:digitalSignature、keyEncipherment

扩展密钥用法:serverAuth、clientAuth

  • 邮件签名证书

密钥用法:digitalSignature、contentCommitment

扩展密钥用法:emailProtection

注意:合规 CA 由第三方权威机构管理,不支持此接口。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

当前API暂无授权信息透出。

请求参数

名称类型必填描述示例值
ParentIdentifierstring

CA 证书识别码。

1ed4068c-6f1b-6deb-8e32-3f8439a851cb
Csrstring

CSR 内容。您可以通过 OpenSSL 工具或者 Keytool 工具生成 CSR。更多信息,请参见如何制作 CSR 文件

-----BEGIN CERTIFICATE REQUEST----- MIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ ... ... ... vbIgMQIhAKHDWD6/WAMbtezAt4bysJ/BZIDz1jPWuUR5GV4TJ/mS -----END CERTIFICATE REQUEST-----
Validitystring

证书有效期。不可超过实例有效期。支持使用相对时间和绝对时间。

相对时间:支持单位年、月、日。

  • 年 - y
  • 月 - m
  • 日 - d

绝对时间:使用 GMT 时间。格式:yyyy-MM-dd'T'HH:mm:ss'Z'

  • 指定结束时间 - $NotAfter
  • 指定开始时间和结束时间 - $NotBefore/$NotAfter
相对时间: ● 1y ● 3m ● 7d 绝对时间: ● 2006-01-02T15:04:05Z ● 2006-01-02T15:04:05Z/2023-03-09T17:48:13Z
ApiPassthroughobject

透传参数。

Subjectobject

证书主体名称。

Countrystring

国家代码。使用 ISO 3166-1 的二位国家代码。参考 ISO

CN
Statestring

CA 证书关联的组织机构所在省份、直辖市或自治区的名称。

浙江省
Localitystring

组织机构所在城市的名称。支持使用中文、英文字符等。

杭州市
Organizationstring

组织机构名称。

XXX公司
OrganizationUnitstring

组织机构下部门或分支的名称。

XXX部门
CommonNamestring

证书使用者的通用名称。

张三
CustomAttributesarray<object>

自定义证书的 Subject 属性。

object
ObjectIdentifierstring

自定义属性键值,需符合行业标准。如:

  • 2.5.4.6:国家代码
  • 2.5.4.10:组织
  • 2.5.4.11:组织单位名称
  • 2.5.4.12:职位
  • 2.5.4.3:通用名称
  • 2.5.4.9:街道
  • 2.5.4.5:序列号名称
  • 2.5.4.7:地区
  • 2.5.4.8:省市
  • 1.3.6.1.4.1.37244.1.1:Matter 证书 - 节点 ID
  • 1.3.6.1.4.1.37244.1.5:Matter 证书 - 结构 ID
  • 1.3.6.1.4.1.37244.2.1:Matter 证书供应商 ID (VID)
  • 1.3.6.1.4.1.37244.2.2:Matter 证书产品 ID (PID)
2.5.4.3
Valuestring

自定义属性属性值。

Aliyun
Extensionsobject

证书扩展项。

KeyUsageobject

密钥用法。

DigitalSignatureboolean

数字签名。允许使用证书私钥进行数字签名,允许使用证书公钥验证数字签名。

true
ContentCommitmentboolean

内容承诺。原名称 NonRepudiation。允许证书密钥用于内容承诺。

false
NonRepudiationboolean

抗抵赖。X.509 标准中已更名为 ContentCommitment。

false
KeyEnciphermentboolean

密钥加密。允许证书密钥加密保护其他密钥。

false
DataEnciphermentboolean

数据加密。

false
KeyAgreementboolean

密钥协商。

false
EncipherOnlyboolean

在 KeyAgreement 为 true 时,用于标记该证书密钥只能用于加密。

false
DecipherOnlyboolean

在 KeyAgreement 为 true 时,用于标记该证书密钥只能用于解密。

false
ExtendedKeyUsagesarray

扩展密钥用法。

string

允许使用以下值:

  • any - 不限制
  • serverAuth - 服务器认证
  • clientAuth - 客户端认证
  • codeSigning - 代码签名
  • emailProtection - 邮件保护
  • timeStamping - 时间戳
  • OCSPSigning - OCSP 签名
  • 其他扩展密钥用法 OID
1.3.6.1.4.1.311.20.2.2
SubjectAlternativeNamesarray<object>

证书主体别名。

object

证书主体别名。

Typestring

允许使用以下值:

  • rfc822Name - Email 地址
  • dNSName - 域名
  • uniformResourceIdentifier - 统一资源标识符(URI)
  • iPAddress - IP 地址
dNSName
Valuestring

符合 Type 定义的值。

rfc822Name: example.aliyundoc.com dNSName: learn.aliyundoc.com uniformResourceIdentifier: acs:ecs:regionid:15619224785*****:instance/i-bp1bzvz55uz27hf***** iPAddress: 127.0.0.1
Criticalsarray

如果是必要参数,则 criticals 列表中包含参数名。

string

必要参数的参数名,如 ExtendedKeyUsages。

ExtendedKeyUsages
SerialNumberstring

自定义证书的序列号(必须是长整型)。

16889526086333
Immediatelyinteger

立即获取证书。

  • 0 - 异步颁发证书。
  • 1 - 立即颁发证书。
  • 2 - 立即颁发证书并返回 CA 证书链。
0
EnableCrllong

是否包含 CRL 地址

  • 0 - 否
  • 1 - 是
1

返回参数

名称类型描述示例值
object

OpenApiResponseV1

Identifierstring

证书唯一标识。

160ae6bb538d538c70c01f81dcf2****
Certificatestring

证书内容。 Immediately 为 1 或 2 时返回。

-----BEGIN CERTIFICATE----- MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/ ... ... ... KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg== -----END CERTIFICATE-----
CertificateChainstring

CA 证书链。 Immediately 为 2 时返回。

-----BEGIN CERTIFICATE----- MIIBfzCCATGgAwIBAgIUfI5kSdcO2S0+LkpdL3b2VUJG10YwBQYDK2VwMDUxCzAJ ... ... ... ZYYG -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ ... ... ... KL5cUmF -----END CERTIFICATE-----
SerialNumberstring

证书序列号。 Immediately 为 1 或 2 时返回。

084bde9cd233f0ddae33adc438cfbbbd****
RequestIdstring

本次调用请求的 ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

12345678-1234-1234-1234-123456789ABC

示例

正常返回示例

JSON格式

{
  "Identifier": "160ae6bb538d538c70c01f81dcf2****",
  "Certificate": "-----BEGIN CERTIFICATE-----\nMIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/\n...\n...\n...\nKOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==\n-----END CERTIFICATE-----",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\nMIIBfzCCATGgAwIBAgIUfI5kSdcO2S0+LkpdL3b2VUJG10YwBQYDK2VwMDUxCzAJ\n...\n...\n...\nZYYG\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\nMIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ\n...\n...\n...\nKL5cUmF\n-----END CERTIFICATE-----",
  "SerialNumber": "084bde9cd233f0ddae33adc438cfbbbd****",
  "RequestId": "12345678-1234-1234-1234-123456789ABC"
}

错误码

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2023-10-16API 内部配置变更,不影响调用查看变更详情
2023-09-05OpenAPI 描述信息更新、OpenAPI 入参发生变更查看变更详情