CreateSubCACertificate - 创建子CA证书

创建一个子CA证书。

接口说明

本接口用于通过已有的根 CA 证书签发一个子 CA 证书。子 CA 证书可用于签发客户端和服务端证书。

调用本接口前,您必须已经调用 CreateRootCACertificate 创建了根 CA 证书。

QPS 限制

本接口的单用户 QPS 限制为 10 次/秒。超过限制,API 调用将会被限流,这可能影响您的业务,请合理调用。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。

  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。

  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:

    • 对于必选的资源类型,用前面加 * 表示。

    • 对于不支持资源级授权的操作,用全部资源表示。

  • 条件关键字:是指云产品自身定义的条件关键字。

  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。

操作

访问级别

资源类型

条件关键字

关联操作

yundun-cert:CreateSubCACertificate

create

*全部资源

*

请求参数

名称

类型

必填

描述

示例值

ParentIdentifier

string

根 CA 证书的唯一识别码。

说明

您可以调用 DescribeCACertificateList 查询所有 CA 证书的唯一识别码。

1a83bcbb89e562885e40aa0108f5****

CommonName

string

组织机构的通用名称或简称。支持使用中文、英文字符等。

Aliyun

OrganizationUnit

string

组织机构下部门或分支的名称。支持使用中文、英文字符等。

Security

Organization

string

子 CA 证书关联的组织机构(对应您的企业或单位)的名称。支持使用中文、英文字符等。

Alibaba

Locality

string

组织机构所在城市的名称。支持使用中文、英文字符等。

Hangzhou

State

string

组织机构所在省份、直辖市或自治区的名称。支持使用中文、英文字符等。

Zhejiang

CountryCode

string

组织机构所在国家或地区的代码,使用两位或三位大写英文字母缩写表示。例如,CN 表示中国,US 表示美国。

关于不同国家的代码,请参见管理公司信息中的国际代号章节。

CN

Algorithm

string

子 CA 证书的密钥算法类型。密钥算法使用<加密算法>_<密钥长度>格式表示。取值:

  • RSA_1024:对应签名算法为 Sha256WithRSA。

  • RSA_2048:对应签名算法为 Sha256WithRSA。

  • RSA_4096:对应签名算法为 Sha256WithRSA。

  • ECC_256:对应签名算法为 Sha256WithECDSA。

  • SM2_256:对应签名算法为 SM3WithSM2。

子 CA 证书的加密算法必须与根 CA 证书一致,密钥长度可以不一致。示例:根 CA 证书的密钥算法为RSA_2048,则子 CA 证书的密钥算法必须是RSA_1024RSA_2048RSA_4096

说明

您可以调用 DescribeCACertificate 查询根 CA 证书的密钥算法。

RSA_2048

Years

integer

子 CA 证书的有效期,单位:年。

建议设置为 5~10 年。

说明

子 CA 证书的有效期不能超过根 CA 证书的有效期。您可以调用 DescribeCACertificate 查询根 CA 证书的有效期。

5

PathLenConstraint

integer

证书路径长度限制,默认 0。

0

ExtendedKeyUsages

array

扩展密钥用法

string

扩展密钥用法,允许以下其一:

  • any

  • serverAuth

  • clientAuth

  • codeSigning

  • emailProtection

  • timeStamping

  • OCSPSigning

  • 其他扩展密钥用法 OID

枚举值:

  • codeSigning :

    代码签名

  • emailProtection :

    邮件保护

  • serverAuth :

    服务器认证

  • timeStamping :

    签发时间戳

  • any :

    任意

  • clientAuth :

    客户端认证

  • OCSPSigning :

    OCSP 签名

serverAuth

EnableCrl

boolean

是否启用 CRL 服务

  • 0 - 否

  • 1 - 是

1

CrlDay

integer

CRL 有效期 1-365 天

30

返回参数

名称

类型

描述

示例值

object

对象。

RequestId

string

本次调用请求的 ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

15C66C7B-671A-4297-9187-2C4477247A74

Identifier

string

本次请求创建的子 CA 证书的唯一识别码。

160ae6bb538d538c70c01f81dcf2****

Certificate

string

本次调用创建的 PEM 格式证书。

-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----

CertificateChain

string

本次调用创建的证书的 CA 证书链。

-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n

  • serverAuth :服务器认证

  • clientAuth :客户端认证

  • codeSigning :代码签名

  • emailProtection :邮件保护

  • timeStamping :时间戳

  • OCSPSigning :OCSP 签名

  • 其他扩展密钥用法 OID

示例

正常返回示例

JSON格式

{
  "RequestId": "15C66C7B-671A-4297-9187-2C4477247A74",
  "Identifier": "160ae6bb538d538c70c01f81dcf2****",
  "Certificate": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n"
}

错误码

访问错误中心查看更多错误码。

变更历史

更多信息,参考变更详情