CreateExternalCACertificate - 建立外部子CA認證

更新時間:
Copy as MD

基於CSRAPI參數建立並頒發外部子CA認證。

介面說明

請求說明

  • 本介面用於根據提供的認證簽章要求(CSR)以及可選的 API 透傳參數來建立一個外部子 CA 憑證。

  • InstanceId 是必填項,代表需要啟用的外部子 CA 執行個體 ID。

  • Csr 欄位必須包含有效認證簽章要求內容。

  • Validity 參數定義了認證的有效期間,支援相對時間和絕對時間格式。

  • 通過ApiPassthrough可以覆蓋 CSR 中的部分資訊或添加額外的認證擴充項,例如主體資訊(Subject)和擴充(Extensions)等。

  • 注意:對於 EndEntity CA 類型的認證,pathLenConstraint應設定為 0。

調試

您可以在OpenAPI Explorer中直接運行該介面,免去您計算簽名的困擾。運行成功後,OpenAPI Explorer可以自動產生SDK程式碼範例。

調試

授權資訊

下表是API對應的授權資訊,可以在RAM權限原則語句的Action元素中使用,用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下:

  • 操作:是指具體的許可權點。

  • 存取層級:是指每個操作的存取層級,取值為寫入(Write)、讀取(Read)或列出(List)。

  • 資源類型:是指操作中支援授權的資源類型。具體說明如下:

    • 對於必選的資源類型,用前面加 * 表示。

    • 對於不支援資源級授權的操作,用全部資源表示。

  • 條件關鍵字:是指雲產品自身定義的條件關鍵字。

  • 關聯操作:是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權,操作才能成功。

操作

存取層級

資源類型

條件關鍵字

關聯操作

yundun-cert:CreateExternalCACertificate

create

*全部資源

*

請求參數

名稱

類型

必填

描述

樣本值

InstanceId

string

需要啟用的外部子 CA 執行個體 ID。

cas_deposit-cn-1234abcd

Csr

string

認證簽章要求。可包含 CA 憑證的 SubjectDN、CA 憑證自訂擴充項等。SubjectKeyIdentifier、AuthorityKeyIdentifier、CRLDistributionPoints 認證擴充項由 CA 產生,CSR 中的值會被忽略。

-----BEGIN CERTIFICATE REQUEST----- MIIBczCCARgCAQAwgYoxFDASBgNVBAMMC2FsaXl1bi50ZXN0MQ0wCwYDVQQ ... vbIgMQIhAKHDWD6/WAMbtezAt4bysJ/BZIDz1jPWuUR5GV4TJ/mS -----END CERTIFICATE REQUEST-----

Validity

string

認證有效期間。支援使用相對時間和絕對時間。

說明

相對時間:支援單位年、月、日。

  • 年 - y

  • 月 - m

  • 日 - d

說明

絕對時間:使用 GMT 時間。格式:yyyy-MM-dd'T'HH:mm:ss'Z'

  • 指定結束時間 - $NotAfter

  • 指定開始時間和結束時間 - $NotBefore/$NotAfter

10y

ApiPassthrough

object

通過 API 參數覆蓋 CSR 內容或添加到 CA 憑證中。

Subject

object

CA 憑證主體資訊。該值存在時會覆蓋 CSR 中的 SubjectDN。

Country

string

所屬國家。使用 ISO 3166-1 的二位國家代碼。

CN

State

string

所屬州/省

Zhejiang

Locality

string

所屬城市/地區

Hangzhou

Organization

string

所屬組織/公司

Alibaba

OrganizationUnit

string

所屬組織內部的子單位(部門、團隊、專案組或分公司)

Cloud Security

CommonName

string

當前 CA 憑證名稱

Testing CA

Extensions

object

CA 憑證擴充。該值存在時會覆蓋 CSR 中的擴充項值,或添加到 CA 憑證擴充項中。

PathLenConstraint

integer

憑證路徑長度限制。EndEntity CA 該值必須傳 0,即當前 CA 憑證用於頒發 End Entity 認證。

0

ExtendedKeyUsages

array

擴充金鑰使用方法。

string

允許使用以下值:

  • any - 不限制

  • serverAuth - 伺服器認證

  • clientAuth - 用戶端認證

  • codeSigning - 程式碼簽署

  • emailProtection - 郵件保護

  • timeStamping - 時間戳記

  • OCSPSigning - OCSP 簽名

  • 其他擴充金鑰使用方法 OID

枚舉值:

  • codeSigning :

    codeSigning

  • emailProtection :

    emailProtection

  • serverAuth :

    serverAuth

  • timeStamping :

    timeStamping

  • any :

    any

  • clientAuth :

    clientAuth

  • OCSPSigning :

    OCSPSigning

serverAuth

Tags

array<object>

標籤列表。

object

標籤列表。

Key

string

標籤鍵。

database

Value

string

標籤值。

1

ResourceGroupId

string

資源分組 ID。

test

CertMaxTime

integer

簽發認證的最長時間由 CA 的 certMaxTime 指定。

30

返回參數

名稱

類型

描述

樣本值

object

OpenApiResponse

RequestId

string

本次請求的 ID。

12345678-1234-1234-1234-123456789ABC

Identifier

string

認證唯一標識。

1ed4068c-6f1b-6deb-8e32-3f8439a851cb

Certificate

string

認證內容。

-----BEGIN CERTIFICATE----- MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/ ... ... ... KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg== -----END CERTIFICATE-----

CertificateChain

string

CA 憑證鏈。

-----BEGIN CERTIFICATE----- ... ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... ... -----END CERTIFICATE-----

樣本

正常返回樣本

JSON格式

{
  "RequestId": "12345678-1234-1234-1234-123456789ABC",
  "Identifier": "1ed4068c-6f1b-6deb-8e32-3f8439a851cb",
  "Certificate": "-----BEGIN CERTIFICATE-----\nMIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/\n...\n...\n...\nKOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==\n-----END CERTIFICATE-----\n",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\n...\n...\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n...\n...\n-----END CERTIFICATE-----\n"
}

錯誤碼

訪問錯誤中心查看更多錯誤碼。

變更歷史

更多資訊,參考變更詳情