Menggunakan CreateSubCACertificate untuk menerbitkan sertifikat CA menengah - Layanan Manajemen Sertifikat

Membuat sertifikat certificate authority (CA) perantara.

Deskripsi operasi

Operasi ini menerbitkan sertifikat certificate authority (CA) perantara berdasarkan sertifikat CA root yang telah ada. Sertifikat CA perantara tersebut dapat digunakan untuk menerbitkan sertifikat client dan server.

Sebelum memanggil operasi ini, Anda harus terlebih dahulu membuat sertifikat CA root dengan memanggil operasi CreateRootCACertificate.

Batas QPS

Batas permintaan per detik (QPS) untuk operasi ini adalah 10 panggilan per pengguna. Panggilan yang melebihi batas ini akan dikenai Pengendalian aliran (throttled), yang dapat memengaruhi bisnis Anda. Rencanakan panggilan Anda secara sesuai.

Coba sekarang

Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

Test

RAM authorization

Tabel berikut menjelaskan otorisasi yang diperlukan untuk memanggil API ini. Anda dapat menentukannya dalam kebijakan Resource Access Management (RAM). Kolom pada tabel dijelaskan sebagai berikut:

Action: Aksi yang dapat digunakan dalam elemen Action pada pernyataan kebijakan izin RAM untuk memberikan izin guna melakukan operasi tersebut.
API: API yang dapat Anda panggil untuk melakukan aksi tersebut.
Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.
Resource type: Jenis resource yang mendukung otorisasi untuk melakukan aksi tersebut. Ini menunjukkan apakah aksi tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan aksi tersebut. Jika tidak, kebijakan tersebut tidak akan berlaku.
- Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan Nama Sumber Daya Alibaba Cloud (ARN) yang sesuai dalam elemen Resource pada kebijakan.
- Untuk API tanpa izin tingkat resource, ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource pada kebijakan.
Condition key: Kunci kondisi yang didefinisikan oleh layanan. Kunci ini memungkinkan kontrol granular, berlaku baik hanya untuk aksi maupun untuk aksi yang terkait dengan resource tertentu. Selain kunci kondisi spesifik layanan, Alibaba Cloud menyediakan serangkaian common condition keys yang berlaku di semua layanan yang didukung RAM.
Dependent action: Aksi dependen yang diperlukan untuk menjalankan aksi tersebut. Untuk menyelesaikan aksi tersebut, pengguna RAM atau role RAM harus memiliki izin untuk melakukan semua aksi dependen.

Action

Access level

Resource type

Condition key

Dependent action

yundun-cert:CreateSubCACertificate

create

*全部资源

*

None

Parameter permintaan

Parameter	Type	Required	Description	Example
ParentIdentifier	string	No	Identifikasi unik dari sertifikat CA root. Catatan Panggil operasi DescribeCACertificateList untuk mendapatkan identifikasi unik semua sertifikat CA.	1a83bcbb89e562885e40aa0108f5****
CommonName	string	Yes	Nama umum organisasi Anda. Nama ini dapat berisi karakter Tionghoa dan huruf Inggris.	Aliyun
OrganizationUnit	string	Yes	Nama departemen dalam organisasi Anda. Nama ini dapat berisi karakter Tionghoa dan huruf Inggris.	Security
Organization	string	Yes	Nama organisasi Anda, seperti perusahaan Anda. Nama ini dapat berisi karakter Tionghoa dan huruf Inggris.	Alibaba
Locality	string	Yes	Nama kota tempat organisasi Anda berlokasi. Nama ini dapat berisi karakter Tionghoa dan huruf Inggris.	Hangzhou
State	string	Yes	Nama provinsi atau negara bagian tempat organisasi berlokasi. Mendukung karakter Tionghoa dan huruf Inggris.	Zhejiang
CountryCode	string	No	Kode negara atau wilayah dua atau tiga huruf dalam huruf kapital. Contohnya, CN menunjukkan Tiongkok dan US menunjukkan Amerika Serikat. Untuk informasi selengkapnya, lihat bagian Country codes di Manage company information.	CN
Algorithm	string	Yes	Algoritma kunci untuk sertifikat CA perantara. Algoritma ini menggunakan format `<Encryption algorithm>_<Key length>`. Nilai yang valid: RSA_1024: Algoritma signature yang sesuai adalah Sha256WithRSA. RSA_2048: Algoritma signature yang sesuai adalah Sha256WithRSA. RSA_4096: Algoritma signature yang sesuai adalah Sha256WithRSA. ECC_256: Algoritma signature yang sesuai adalah Sha256WithECDSA. SM2_256: Algoritma signature yang sesuai adalah SM3WithSM2. Algoritma enkripsi sertifikat CA perantara harus sama dengan sertifikat CA root, tetapi panjang kuncinya boleh berbeda. Misalnya, jika sertifikat CA root menggunakan algoritma RSA_2048, maka sertifikat CA perantara harus menggunakan RSA_1024, RSA_2048, atau RSA_4096. Catatan Panggil operasi DescribeCACertificate untuk mendapatkan algoritma kunci sertifikat CA root.	RSA_2048
Years	integer	Yes	Periode validitas sertifikat CA perantara, dalam satuan tahun. Nilai yang valid: 5 hingga 10. Atur parameter ini ke nilai antara 5 hingga 10. Catatan Periode validitas sertifikat CA perantara tidak boleh melebihi periode validitas sertifikat CA root. Panggil operasi DescribeCACertificate untuk mendapatkan periode validitas sertifikat CA root.	5
PathLenConstraint	integer	No	Batas panjang jalur sertifikat. Nilai default-nya adalah 0.	0
ExtendedKeyUsages	array	No	Penggunaan kunci diperluas (extended key usages).
	string	No	Penggunaan kunci diperluas. Nilai yang valid: any serverAuth clientAuth codeSigning emailProtection timeStamping OCSPSigning Object identifier (OID) penggunaan kunci diperluas lainnya. Valid values: codeSigning : Code signing emailProtection : Email protection serverAuth : Server authentication timeStamping : Timestamping any : Any clientAuth : Client authentication OCSPSigning : OCSP signing	serverAuth
EnableCrl	boolean	No	Menentukan apakah fitur certificate revocation list (CRL) diaktifkan. false: Tidak true: Ya Valid values: true : true false : false	true
CrlDay	integer	No	Periode validitas CRL, dalam satuan hari. Nilai yang valid: 1 hingga 365.	30
Tags	array<object>	No	Daftar tag.
	object	No	Daftar tag.
Key	string	No	Kunci tag.	testKey
Value	string	No	Nilai tag.	test
ResourceGroupId	string	No	ID kelompok sumber daya.	rg-ae****vty
ClientToken	string	No	Token yang dihasilkan oleh client untuk memastikan idempotensi permintaan. Token harus unik untuk setiap permintaan dan dapat memiliki panjang hingga 64 karakter ASCII.	XXX

Elemen respons

Element	Type	Description	Example
	object	Objek respons.
RequestId	string	ID permintaan.	15C66C7B-671A-4297-9187-2C4477247A74
Identifier	string	Identifikasi unik dari sertifikat CA perantara.	160ae6bb538d538c70c01f81dcf2****
Certificate	string	Sertifikat yang dikembalikan oleh panggilan ini, dalam format PEM.	-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----
CertificateChain	string	Rantai sertifikat CA dari sertifikat yang dikembalikan oleh panggilan ini.	-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n

serverAuth: Server authentication
clientAuth: Client authentication
codeSigning: Code signing
emailProtection: Email protection
timeStamping: Timestamping
OCSPSigning: OCSP signing
OID penggunaan kunci diperluas lainnya

Contoh

Respons sukses

JSONformat

{
  "RequestId": "15C66C7B-671A-4297-9187-2C4477247A74",
  "Identifier": "160ae6bb538d538c70c01f81dcf2****",
  "Certificate": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n"
}

Kode kesalahan

Lihat Error Codes untuk daftar lengkap.

Catatan rilis

Lihat Release Notes untuk daftar lengkap.