CreateClientCertificate

更新日時
Copy as MD

システムが生成した証明書署名リクエスト (CSR) に基づいてクライアント証明書を発行します。

操作説明

この操作を呼び出す前に、CreateRootCACertificate を呼び出してルート CA 証明書を作成し、CreateSubCACertificate を呼び出して中間 CA 証明書を作成する必要があります。クライアント証明書を発行できるのは、中間 CA 証明書のみです。

QPS 制限

この操作の 1 秒あたりのクエリ数 (QPS) 制限は、ユーザーあたり 10 回/秒です。この制限を超えた呼び出しはスロットリングされ、ビジネスに影響を与える可能性があります。適切なレートでこの操作を呼び出すことを推奨します。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

  • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

  • API:アクションを具体的に実行するための API。

  • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

  • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

    • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

    • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

  • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

  • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

yundun-cert:CreateClientCertificate

create

*All Resource

*

なし なし

リクエストパラメーター

パラメーター

必須 / 任意

説明

SanType

integer

任意

クライアント証明書のサブジェクトの別名 (SAN) 拡張情報のタイプ。有効な値:

  • 1:E メール

  • 6:Uniform Resource Identifier (URI)

1

SanValue

string

任意

クライアント証明書の拡張情報。複数の拡張情報を入力する場合は、コンマ (,) で区切ります。

somebody@example.com

Organization

string

任意

組織の名前。デフォルト値:Alibaba Inc.

阿里云

OrganizationUnit

string

任意

部門の名前。デフォルト値:Alibaba Cloud CDN。

IT

Country

string

任意

国コード。デフォルト値:CN。

CN

CommonName

string

任意

証明書ユーザーの名前。クライアント認証 (ClientAuth) 証明書の場合、ユーザーは通常、個人、企業、組織、またはアプリケーションです。ユーザーのコモンネーム (例:田中一郎、Alibaba、Alibaba Cloud Cryptography Platform、Tmall Genie) を指定します。

aliyun

State

string

任意

証明書組織の都道府県を指定します。値には文字を含めることができます。デフォルト値は、証明書を発行する中間 CA の組織の都道府県です。

Zhejiang

Locality

string

任意

組織が所在する市区町村の名前。デフォルト値は、証明書を発行する中間 CA の市区町村です。

杭州市

Algorithm

string

任意

クライアント証明書のキーアルゴリズム。フォーマットは <暗号化アルゴリズム>_<キー長> です。有効な値:

  • RSA_1024:署名アルゴリズムは Sha256WithRSA です。

  • RSA_2048:署名アルゴリズムは Sha256WithRSA です。

  • RSA_4096:署名アルゴリズムは Sha256WithRSA です。

  • ECC_256:署名アルゴリズムは Sha256WithECDSA です。

  • ECC_384:署名アルゴリズムは Sha256WithECDSA です。

  • ECC_512:署名アルゴリズムは Sha256WithECDSA です。

  • SM2_256:署名アルゴリズムは SM3WithSM2 です。

クライアント証明書の暗号化アルゴリズムは、中間 CA 証明書と同じである必要があります。キー長は異なっていてもかまいません。たとえば、中間 CA 証明書が RSA_2048 キーアルゴリズムを使用している場合、クライアント証明書は RSA_1024、RSA_2048、または RSA_4096 を使用する必要があります。

説明

DescribeCACertificate を呼び出して、中間 CA 証明書のキーアルゴリズムを確認できます。

RSA_2048

ParentIdentifier

string

任意

この証明書を発行する中間 CA 証明書の一意の識別子。

説明

DescribeCACertificateList を呼び出して、中間 CA 証明書の一意の識別子を照会します。

273ae6bb538d538c70c01f81jh2****

Years

integer

任意

証明書の有効期間 (年単位)。

5

Months

integer

任意

証明書の有効期間 (月単位)。

1

Days

integer

任意

クライアント証明書の有効期間 (日数)。 DaysBeforeTime、または AfterTime パラメーターをすべて空にすることはできません。BeforeTimeAfterTime パラメーターは、一緒に設定するか、空のままにする必要があります。パラメーターは次のように設定されます:

  • Days パラメーターを設定する場合、BeforeTimeAfterTime パラメーターはオプションです。

  • Days パラメーターを設定しない場合は、BeforeTimeAfterTime の両方のパラメーターを設定する必要があります。

説明
  • DaysBeforeTime、および AfterTime パラメーターを設定した場合、Days パラメーターの値が優先されます。

  • クライアント証明書の有効期間は、中間 CA 証明書の有効期間を超えることはできません。中間 CA 証明書の有効期間を表示するには、DescribeCACertificate を呼び出します。

365

BeforeTime

integer

任意

クライアント証明書の発行時刻 (UNIX タイムスタンプ形式)。単位は秒です。デフォルト値は、この操作を呼び出した時刻です。

説明

BeforeTimeAfterTime は、一緒に指定するか、一緒に空のままにする必要があります。

1634283958

AfterTime

integer

任意

クライアント証明書の有効期限 (UNIX タイムスタンプ形式)。単位は秒です。

説明

BeforeTimeAfterTime は、一緒に指定するか、一緒に空のままにする必要があります。

1665819958

Immediately

integer

任意

デジタル証明書をすぐに返すかどうかを指定します。

  • 0:いいえ。これはデフォルト値です。

  • 1:はい、証明書を返します。

  • 2:はい、証明書とその証明書チェーンを返します。

1

EnableCrl

integer

任意

証明書失効リスト (CRL) アドレスを含めるかどうかを指定します。

有効な値:0 (いいえ) と 1 (はい)。

1

Tags

array<object>

任意

タグのリスト。

object

任意

タグのリスト。

Key

string

任意

タグキー。

account

Value

string

任意

タグ値。

1

ResourceGroupId

string

任意

リソースグループの ID。

rg-aek****wia

CustomIdentifier

string

任意

カスタム識別子。これは一意のキーです。

****6bb538d538c70c01f81jh2****

AliasName

string

任意

発行された証明書の名前を設定します。

cert-name

ClientToken

string

任意

リクエストのべき等性を確保するために使用されます。クライアントがこのパラメーター値を生成します。この値は、異なるリクエスト間で一意である必要があります。最大 64 文字の ASCII 文字を含めることができ、ASCII 以外の文字を含めることはできません。

XXX

この操作に固有のリクエストパラメーターに加えて、Alibaba Cloud API の共通リクエストパラメーターも指定する必要があります。

詳細については、「Examples」セクションのリクエストサンプルをご参照ください。

レスポンスフィールド

フィールド

説明

object

CreateCertificateResponse

X509Certificate

string

クライアント証明書の内容。

-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----

CertificateChain

string

CA 証明書チェーン。

-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n

Identifier

string

クライアント証明書の一意の識別子。

190ae6bb538d538c70c01f81dcf2****

SerialNumber

string

証明書のシリアル番号。

084bde9cd233f0ddae33adc438cfbbbd****

RequestId

string

リクエスト ID。

8C467B38-3910-447D-87BC-AC049166F216

成功レスポンス

JSONJSON

{
  "X509Certificate": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n",
  "Identifier": "190ae6bb538d538c70c01f81dcf2****",
  "SerialNumber": "084bde9cd233f0ddae33adc438cfbbbd****",
  "RequestId": "8C467B38-3910-447D-87BC-AC049166F216"
}

エラーコード

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。