调用CreateSubCACertificate创建子CA证书_数字证书管理服务（原SSL证书）(SSL Certificate)-阿里云帮助中心

创建一个子CA证书。

接口说明

本接口用于通过已有的根 CA 证书签发一个子 CA 证书。子 CA 证书可用于签发客户端和服务端证书。

调用本接口前，您必须已经调用 CreateRootCACertificate 创建了根 CA 证书。

QPS 限制

本接口的单用户 QPS 限制为 10 次/秒。超过限制，API 调用将会被限流，这可能影响您的业务，请合理调用。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作

访问级别

资源类型

条件关键字

关联操作

yundun-cert:CreateSubCACertificate

create

*全部资源

*

无

请求参数

名称	类型	必填	描述	示例值
ParentIdentifier	string	是	根 CA 证书的唯一识别码。说明您可以调用 DescribeCACertificateList 查询所有 CA 证书的唯一识别码。	1a83bcbb89e562885e40aa0108f5****
CommonName	string	是	组织机构的通用名称或简称。支持使用中文、英文字符等。	Aliyun
OrganizationUnit	string	是	组织机构下部门或分支的名称。支持使用中文、英文字符等。	Security
Organization	string	是	子 CA 证书关联的组织机构（对应您的企业或单位）的名称。支持使用中文、英文字符等。	Alibaba
Locality	string	是	组织机构所在城市的名称。支持使用中文、英文字符等。	Hangzhou
State	string	是	组织机构所在省份、直辖市或自治区的名称。支持使用中文、英文字符等。	Zhejiang
CountryCode	string	否	组织机构所在国家或地区的代码，使用两位或三位大写英文字母缩写表示。例如，CN 表示中国，US 表示美国。关于不同国家的代码，请参见管理公司信息中的国际代号章节。	CN
Algorithm	string	是	子 CA 证书的密钥算法类型。密钥算法使用`<加密算法>_<密钥长度>`格式表示。取值： RSA_1024：对应签名算法为 Sha256WithRSA。 RSA_2048：对应签名算法为 Sha256WithRSA。 RSA_4096：对应签名算法为 Sha256WithRSA。 ECC_256：对应签名算法为 Sha256WithECDSA。 SM2_256：对应签名算法为 SM3WithSM2。子 CA 证书的加密算法必须与根 CA 证书一致，密钥长度可以不一致。示例：根 CA 证书的密钥算法为RSA_2048，则子 CA 证书的密钥算法必须是RSA_1024、RSA_2048、RSA_4096。说明您可以调用 DescribeCACertificate 查询根 CA 证书的密钥算法。	RSA_2048
Years	integer	是	子 CA 证书的有效期，单位：年。建议设置为 5~10 年。说明子 CA 证书的有效期不能超过根 CA 证书的有效期。您可以调用 DescribeCACertificate 查询根 CA 证书的有效期。	5
PathLenConstraint	integer	否	证书路径长度限制，默认 0。	0
ExtendedKeyUsages	array	否	扩展密钥用法
	string	否	扩展密钥用法，允许以下其一： any serverAuth clientAuth codeSigning emailProtection timeStamping OCSPSigning 其他扩展密钥用法 OID 枚举值： codeSigning : 代码签名 emailProtection : 邮件保护 serverAuth : 服务器认证 timeStamping : 签发时间戳 any : 任意 clientAuth : 客户端认证 OCSPSigning : OCSP 签名	serverAuth
EnableCrl	boolean	否	是否启用 CRL 服务 0 - 否 1 - 是	1
CrlDay	integer	否	CRL 有效期 1-365 天	30

返回参数

名称	类型	描述	示例值
	object	对象。
RequestId	string	本次调用请求的 ID，是由阿里云为该请求生成的唯一标识符，可用于排查和定位问题。	15C66C7B-671A-4297-9187-2C4477247A74
Identifier	string	本次请求创建的子 CA 证书的唯一识别码。	160ae6bb538d538c70c01f81dcf2****
Certificate	string	本次调用创建的 PEM 格式证书。	-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----
CertificateChain	string	本次调用创建的证书的 CA 证书链。	-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n

serverAuth :服务器认证
clientAuth :客户端认证
codeSigning :代码签名
emailProtection :邮件保护
timeStamping :时间戳
OCSPSigning :OCSP 签名
其他扩展密钥用法 OID

示例

正常返回示例

JSON格式

{
  "RequestId": "15C66C7B-671A-4297-9187-2C4477247A74",
  "Identifier": "160ae6bb538d538c70c01f81dcf2****",
  "Certificate": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n"
}

错误码

访问错误中心查看更多错误码。

变更历史

更多信息，参考变更详情。