CreateClientCertificateWithCsr

更新日時
Copy as MD

カスタムの証明書署名要求 (CSR) に基づいてクライアント証明書を発行します。

操作説明

この操作を呼び出す前に、CreateRootCACertificate を呼び出してルート CA 証明書を作成し、CreateSubCACertificate を呼び出して下位 CA 証明書を作成する必要があります。クライアント証明書を発行できるのは、下位 CA 証明書のみです。

QPS 制限

この操作は、ユーザーごとに 1 秒あたり 10 クエリ (QPS) に制限されています。この制限を超えると、システムによって API 呼び出しがスロットリングされ、ビジネスに影響が生じる可能性があります。スロットリングを回避するために、API 呼び出しを計画的に実行することを推奨します。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

  • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

  • API:アクションを具体的に実行するための API。

  • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

  • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

    • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

    • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

  • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

  • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

yundun-cert:CreateClientCertificateWithCsr

create

*All Resource

*

なし なし

リクエストパラメーター

パラメーター

必須 / 任意

説明

Csr

string

任意

証明書署名要求 (CSR) の内容。OpenSSL または Keytool を使用して CSR を生成します。詳細については、「CSR ファイルの作成」をご参照ください。

-----BEGIN CERTIFICATE REQUEST----- ...... -----END CERTIFICATE REQUEST-----

SanType

integer

任意

クライアント証明書のサブジェクトの別名 (SAN) 拡張子のタイプ。有効な値:

  • 1:メールアドレス

  • 6:Uniform Resource Identifier (URI)

1

SanValue

string

任意

クライアント証明書の拡張子。複数の拡張子を指定する場合は、コンマ (,) で区切ります。

somebody@example.com

Organization

string

任意

組織の名前。デフォルト値:Alibaba Inc.

阿里云计算有限公司

OrganizationUnit

string

任意

部門の名前。デフォルト値:Alibaba Cloud CDN。

Security

Country

string

任意

国別コード。例:CNUS

CN

CommonName

string

任意

証明書のコモンネーム。中国語と英語の文字をサポートしています。

説明

Csr パラメーターを指定した場合、このパラメーターの値は Csr パラメーターの情報によって決定されます。

aliyundoc.com

State

string

任意

証明書組織が所在する州または省の名前を指定します。値には英字を使用できます。デフォルト値は、中間 CA の組織の州または省の名前です。

Zhejiang

Locality

string

任意

組織が所在する都市名。中国語と英語の文字をサポートしています。 デフォルトでは、このパラメーターは、発行元の下位 CA 証明書に関連付けられている組織の都市名を使用します。

Hangzhou

Algorithm

string

任意

クライアント証明書の鍵アルゴリズム。鍵アルゴリズムは、<暗号化アルゴリズム>_<鍵長> というフォーマットです。有効な値:

  • RSA_1024:対応する署名アルゴリズムは Sha256WithRSA です。

  • RSA_2048:対応する署名アルゴリズムは Sha256WithRSA です。

  • RSA_4096:対応する署名アルゴリズムは Sha256WithRSA です。

  • ECC_256:対応する署名アルゴリズムは Sha256WithECDSA です。

  • ECC_384:対応する署名アルゴリズムは Sha256WithECDSA です。

  • ECC_512:対応する署名アルゴリズムは Sha256WithECDSA です。

  • SM2_256:対応する署名アルゴリズムは SM3WithSM2 です。

クライアント証明書の暗号化アルゴリズムは、下位 CA 証明書の暗号化アルゴリズムと同じである必要がありますが、鍵長は異なっていてもかまいません。例えば、下位 CA 証明書の鍵アルゴリズムが RSA_2048 の場合、クライアント証明書の鍵アルゴリズムは RSA_1024、RSA_2048、RSA_4096 のいずれかである必要があります。

説明

DescribeCACertificate を呼び出して、下位 CA 証明書の鍵アルゴリズムを照会します。

RSA_2048

ParentIdentifier

string

任意

クライアント証明書を発行する下位 CA 証明書の一意の識別子。

説明

DescribeCACertificateList を呼び出して、下位 CA 証明書の一意の識別子を照会します。

270ae6bb538d538c70c01f81fg3****

Years

integer

任意

証明書の有効期間 (年単位)。

1

Months

integer

任意

証明書の有効期間 (月単位)。

12

Days

integer

任意

クライアント証明書の有効期間 (日単位)。 次のいずれかのメソッドを使用して有効期間を指定する必要があります:

  • Days パラメーターを指定する。

  • BeforeTimeAfterTime の両方のパラメーターを指定する。

説明
  • DaysBeforeTimeAfterTime を同時に指定した場合、Days の値が使用されます。

  • クライアント証明書の有効期間は、下位 CA 証明書の有効期間を超えることはできません。DescribeCACertificate を呼び出して、下位 CA 証明書の有効期間を確認します。

365

BeforeTime

integer

任意

クライアント証明書の発行時刻。これは秒単位の UNIX タイムスタンプです。デフォルト値は API 呼び出しの時刻です。

説明

BeforeTimeAfterTime パラメーターは、一緒に指定するか、両方とも空のままにする必要があります。

1634283958

AfterTime

integer

任意

クライアント証明書の有効期限。これは秒単位の UNIX タイムスタンプです。

説明

BeforeTimeAfterTime パラメーターを一緒に指定するか、両方を省略します。

1665819958

Immediately

integer

任意

デジタル証明書を返すかどうかを指定します。

  • 0:証明書を返しません。これがデフォルト値です。

  • 1:証明書を返します。

  • 2:証明書とその証明書チェーンを返します。

1

EnableCrl

integer

任意

証明書失効リスト (CRL) アドレスを含めるかどうかを指定します。

0:いいえ

1:はい

1

Tags

array<object>

任意

タグのリスト。

object

任意

タグのリスト。

Key

string

任意

タグキー。

database

Value

string

任意

タグの値。

1

ResourceGroupId

string

任意

証明書が属するリソースグループの ID。

rg-ae******4wia

CustomIdentifier

string

任意

カスタム識別子。これは一意のキーです。

***e6bb538d538c70c01f81fg3****

このトピックで説明されているパラメーターに加えて、この操作を呼び出すときには、共通リクエストパラメーターも指定する必要があります。

リクエストフォーマットについては、このトピックのセクションのリクエスト例をご参照ください。

レスポンスフィールド

フィールド

説明

object

CreateCertificateResponse

X509Certificate

string

クライアント証明書の内容。

-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----

CertificateChain

string

CA 証明書チェーン。

-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n

Identifier

string

クライアント証明書の一意の識別子。

200ae6bb538d538c70c01f81dcf2****

SerialNumber

string

証明書シリアル番号。

084bde9cd233f0ddae33adc438cfbbbd****

RequestId

string

リクエスト ID。この ID は、Alibaba Cloud がリクエストに対して生成する一意の識別子です。問題のトラブルシューティングや特定に使用できます。

31C66C7B-671A-4297-9187-2C4477247A74

CertSignBufKmc

string

証明書の暗号化された内容。

MIIDYDCCAwWgAwIBAgIU *** TmTk0CS3WNweqsjMEETyxd2pzU6DA

CertKmcRep1

string

暗号化された証明書の暗号文。

userSeal=MHkCIEu94PQAahFWuFk% *** EtFw%2FkMMBjw8i5bFfSkV%2FIUrcOJD

成功レスポンス

JSONJSON

{
  "X509Certificate": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n",
  "Identifier": "200ae6bb538d538c70c01f81dcf2****",
  "SerialNumber": "084bde9cd233f0ddae33adc438cfbbbd****",
  "RequestId": "31C66C7B-671A-4297-9187-2C4477247A74",
  "CertSignBufKmc": "MIIDYDCCAwWgAwIBAgIU\n***\nTmTk0CS3WNweqsjMEETyxd2pzU6DA",
  "CertKmcRep1": "userSeal=MHkCIEu94PQAahFWuFk%\n***\nEtFw%2FkMMBjw8i5bFfSkV%2FIUrcOJD"
}

エラーコード

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。