CreateSubCACertificate - 创建子CA证书

创建一个子CA证书。

接口说明

本接口用于通过已有的根 CA 证书签发一个子 CA 证书。子 CA 证书可用于签发客户端和服务端证书。

调用本接口前,您必须已经调用 CreateRootCACertificate 创建了根 CA 证书。

QPS 限制

本接口的单用户 QPS 限制为 10 次/秒。超过限制,API 调用将会被限流,这可能影响您的业务,请合理调用。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
yundun-cert:CreateSubCACertificate
  • 全部资源
    *

请求参数

名称类型必填描述示例值
ParentIdentifierstring

根 CA 证书的唯一识别码。

说明 您可以调用 DescribeCACertificateList 查询所有 CA 证书的唯一识别码。
1a83bcbb89e562885e40aa0108f5****
CommonNamestring

组织机构的通用名称或简称。支持使用中文、英文字符等。

Aliyun
OrganizationUnitstring

组织机构下部门或分支的名称。支持使用中文、英文字符等。

Security
Organizationstring

子 CA 证书关联的组织机构(对应您的企业或单位)的名称。支持使用中文、英文字符等。

阿里云计算有限公司
Localitystring

组织机构所在城市的名称。支持使用中文、英文字符等。

Hangzhou
Statestring

组织机构所在省份、直辖市或自治区的名称。支持使用中文、英文字符等。

Zhejiang
CountryCodestring

组织机构所在国家或地区的代码,使用两位或三位大写英文字母缩写表示。例如,CN 表示中国,US 表示美国。

关于不同国家的代码,请参见管理公司信息中的国际代号章节。

CN
Algorithmstring

子 CA 证书的密钥算法类型。密钥算法使用<加密算法>_<密钥长度>格式表示。取值:

  • RSA_1024:对应签名算法为 Sha256WithRSA。
  • RSA_2048:对应签名算法为 Sha256WithRSA。
  • RSA_4096:对应签名算法为 Sha256WithRSA。
  • ECC_256:对应签名算法为 Sha256WithECDSA。
  • SM2_256:对应签名算法为 SM3WithSM2。

子 CA 证书的加密算法必须与根 CA 证书一致,密钥长度可以不一致。示例:根 CA 证书的密钥算法为RSA_2048,则子 CA 证书的密钥算法必须是RSA_1024RSA_2048RSA_4096

说明 您可以调用 DescribeCACertificate 查询根 CA 证书的密钥算法。
RSA_2048
Yearsinteger

子 CA 证书的有效期,单位:年。

建议设置为 5~10 年。

说明 子 CA 证书的有效期不能超过根 CA 证书的有效期。您可以调用 DescribeCACertificate 查询根 CA 证书的有效期。
5
PathLenConstraintinteger

证书路径长度限制,默认 0。

0
ExtendedKeyUsagesarray

扩展密钥用法

string

扩展密钥用法,允许以下其一:

  • any
  • serverAuth
  • clientAuth
  • codeSigning
  • emailProtection
  • timeStamping
  • OCSPSigning
  • 其他扩展密钥用法 OID
枚举值:
  • codeSigning代码签名
  • emailProtection邮件保护
  • serverAuth服务器认证
  • timeStamping签发时间戳
  • any任意
  • clientAuth客户端认证
  • OCSPSigningOCSP签名
serverAuth
EnableCrlboolean

是否启用 CRL 服务

  • 0 - 否
  • 1 - 是
1
CrlDayinteger

CRL 有效期 1-365 天

30

返回参数

名称类型描述示例值
object

对象。

RequestIdstring

本次调用请求的 ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

15C66C7B-671A-4297-9187-2C4477247A74
Identifierstring

本次请求创建的子 CA 证书的唯一识别码。

160ae6bb538d538c70c01f81dcf2****
Certificatestring

本次调用创建的 PEM 格式证书。

-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----
CertificateChainstring

本次调用创建的证书的 CA 证书链。

-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n
  • serverAuth :服务器认证
  • clientAuth :客户端认证
  • codeSigning :代码签名
  • emailProtection :邮件保护
  • timeStamping :时间戳
  • OCSPSigning :OCSP 签名
  • 其他扩展密钥用法 OID

示例

正常返回示例

JSON格式

{
  "RequestId": "15C66C7B-671A-4297-9187-2C4477247A74",
  "Identifier": "160ae6bb538d538c70c01f81dcf2****",
  "Certificate": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n"
}

错误码

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2023-09-05OpenAPI 描述信息更新、OpenAPI 入参发生变更查看变更详情
2023-03-23OpenAPI 入参发生变更、OpenAPI 返回结构发生变更查看变更详情