CreateExternalCACertificate - 创建外部子CA证书_数字证书管理服务（原SSL证书）(SSL Certificate)-阿里云帮助中心

基于CSR和API参数创建并颁发外部子CA证书。

接口说明

请求说明

本接口用于根据提供的证书签名请求（CSR）以及可选的 API 透传参数来创建一个外部子 CA 证书。
InstanceId 是必填项，代表需要启用的外部子 CA 实例 ID。
Csr 字段必须包含有效的证书签名请求内容。
Validity 参数定义了证书的有效期，支持相对时间和绝对时间格式。
通过ApiPassthrough可以覆盖 CSR 中的部分信息或添加额外的证书扩展项，例如主体信息(Subject)和扩展(Extensions)等。
注意：对于 EndEntity CA 类型的证书，pathLenConstraint应设置为 0。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作

访问级别

资源类型

条件关键字

关联操作

yundun-cert:CreateExternalCACertificate

create

*全部资源

*

无

请求参数

名称	类型	必填	描述	示例值
InstanceId	string	是	需要启用的外部子 CA 实例 ID	cas_deposit-cn-1234abcd
Csr	string	是	证书签名请求。可包含 CA 证书的 SubjectDN、CA 证书自定义扩展项等。SubjectKeyIdentifier、AuthorityKeyIdentifier、CRLDistributionPoints 证书扩展项由 CA 生成，CSR 中的值会被忽略。	-----BEGIN CERTIFICATE REQUEST----- MIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ ... vbIgMQIhAKHDWD6/WAMbtezAt4bysJ/BZIDz1jPWuUR5GV4TJ/mS -----END CERTIFICATE REQUEST-----
Validity	string	是	证书有效期。支持使用相对时间和绝对时间。说明相对时间：支持单位年、月、日。年 - y 月 - m 日 - d 说明绝对时间：使用 GMT 时间。格式：`yyyy-MM-dd'T'HH:mm:ss'Z'` 指定结束时间 - `$NotAfter` 指定开始时间和结束时间 - `$NotBefore/$NotAfter`	10y
ApiPassthrough	object	否	通过 API 参数覆盖 CSR 内容或添加到 CA 证书中。
Subject	object	否	CA 证书主体信息。该值存在时会覆盖 CSR 中的 SubjectDN。
Country	string	否	所属国家。使用 ISO 3166-1 的二位国家代码。	CN
State	string	否	所属省/自治区/直辖市	Zhejiang
Locality	string	否	所属城市/区域	Hangzhou
Organization	string	否	所属组织/公司	Alibaba
OrganizationUnit	string	否	所属组织内部的子单位（部门、团队、项目组或分支机构）	Cloud Security
CommonName	string	否	当前 CA 证书名称	Testing CA
Extensions	object	否	CA 证书扩展。该值存在时会覆盖 CSR 中的扩展项值，或添加到 CA 证书扩展项中。
PathLenConstraint	integer	否	证书路径长度限制。EndEntity CA 该值必须传 0，即当前 CA 证书用于颁发 End Entity 证书。	0
ExtendedKeyUsages	array	否	扩展密钥用法。
	string	否	允许使用以下值： any - 不限制 serverAuth - 服务器认证 clientAuth - 客户端认证 codeSigning - 代码签名 emailProtection - 邮件保护 timeStamping - 时间戳 OCSPSigning - OCSP 签名其他扩展密钥用法 OID 枚举值： codeSigning : codeSigning emailProtection : emailProtection serverAuth : serverAuth timeStamping : timeStamping any : any clientAuth : clientAuth OCSPSigning : OCSPSigning	serverAuth

返回参数

名称	类型	描述	示例值
	object	OpenApiResponse
RequestId	string	本次请求的 ID。	12345678-1234-1234-1234-123456789ABC
Identifier	string	证书唯一标识。	1ed4068c-6f1b-6deb-8e32-3f8439a851cb
Certificate	string	证书内容。	-----BEGIN CERTIFICATE----- MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/ ... ... ... KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg== -----END CERTIFICATE-----
CertificateChain	string	CA 证书链。	-----BEGIN CERTIFICATE----- ... ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... ... -----END CERTIFICATE-----

示例

正常返回示例

JSON格式

{
  "RequestId": "12345678-1234-1234-1234-123456789ABC",
  "Identifier": "1ed4068c-6f1b-6deb-8e32-3f8439a851cb",
  "Certificate": "-----BEGIN CERTIFICATE-----\nMIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/\n...\n...\n...\nKOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==\n-----END CERTIFICATE-----\n",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\n...\n...\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n...\n...\n-----END CERTIFICATE-----\n"
}

错误码

访问错误中心查看更多错误码。

变更历史

更多信息，参考变更详情。