CreateSubCACertificate - 建立子CA認證 -

建立一個子CA認證。

介面說明

本介面用於通過已有的根 CA 憑證簽發一個子 CA 憑證。子 CA 憑證可用於簽發用戶端和服務端認證。

調用本介面前，您必須已經調用 CreateRootCACertificate 建立了根 CA 憑證。

QPS 限制

本介面的單使用者 QPS 限制為 10 次/秒。超過限制，API 呼叫將會被限流，這可能影響您的業務，請合理調用。

調試

您可以在OpenAPI Explorer中直接運行該介面，免去您計算簽名的困擾。運行成功後，OpenAPI Explorer可以自動產生SDK程式碼範例。

調試

授權資訊

下表是API對應的授權資訊，可以在RAM權限原則語句的Action元素中使用，用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下：

操作：是指具體的許可權點。
存取層級：是指每個操作的存取層級，取值為寫入（Write）、讀取（Read）或列出（List）。
資源類型：是指操作中支援授權的資源類型。具體說明如下：
- 對於必選的資源類型，用前面加 * 表示。
- 對於不支援資源級授權的操作，用全部資源表示。
條件關鍵字：是指雲產品自身定義的條件關鍵字。
關聯操作：是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權，操作才能成功。

操作

存取層級

資源類型

條件關鍵字

關聯操作

yundun-cert:CreateSubCACertificate

create

*全部資源

*

無

請求參數

名稱	類型	必填	描述	樣本值
ParentIdentifier	string	否	根 CA 憑證的唯一識別碼。說明您可以調用 DescribeCACertificateList 查詢所有 CA 憑證的唯一識別碼。	1a83bcbb89e562885e40aa0108f5****
CommonName	string	是	組織機構的通用名稱或簡稱。支援使用中文、英文字元等。	Aliyun
OrganizationUnit	string	是	組織機構下部門或分支的名稱。支援使用中文、英文字元等。	Security
Organization	string	是	子 CA 憑證關聯的組織機構（對應您的企業或單位）的名稱。支援使用中文、英文字元等。	Alibaba
Locality	string	是	組織機構所在城市的名稱。支援使用中文、英文字元等。	Hangzhou
State	string	是	組織機構所在省份或州的名稱。支援使用中文、英文字元等。	Zhejiang
CountryCode	string	否	組織機構所在國家或地區的代碼，使用兩位或三位大寫英文字母縮寫表示。例如，CN 表示中國，US 表示美國。關於不同國家的代碼，請參見管理公司資訊中的國際代號章節。	CN
Algorithm	string	是	子 CA 憑證的密鑰演算法類型。密鑰演算法使用`<密碼編譯演算法>_<密鑰長度>`格式表示。取值： RSA_1024：對應簽名演算法為 Sha256WithRSA。 RSA_2048：對應簽名演算法為 Sha256WithRSA。 RSA_4096：對應簽名演算法為 Sha256WithRSA。 ECC_256：對應簽名演算法為 Sha256WithECDSA。 SM2_256：對應簽名演算法為 SM3WithSM2。子 CA 憑證的密碼編譯演算法必須與根 CA 憑證一致，密鑰長度可以不一致。樣本：根 CA 憑證的密鑰演算法為RSA_2048，則子 CA 憑證的密鑰演算法必須是RSA_1024、RSA_2048、RSA_4096。說明您可以調用 DescribeCACertificate 查詢根 CA 憑證的密鑰演算法。	RSA_2048
Years	integer	是	子 CA 憑證的有效期間，單位：年。建議設定為 5~10 年。說明子 CA 憑證的有效期間不能超過根 CA 憑證的有效期間。您可以調用 DescribeCACertificate 查詢根 CA 憑證的有效期間。	5
PathLenConstraint	integer	否	憑證路徑長度限制，預設 0。	0
ExtendedKeyUsages	array	否	擴充金鑰使用方法
	string	否	擴充金鑰使用方法，允許以下其一： any serverAuth clientAuth codeSigning emailProtection timeStamping OCSPSigning 其他擴充金鑰使用方法 OID 枚舉值： codeSigning : 程式碼簽署 emailProtection : 郵件保護 serverAuth : 伺服器認證 timeStamping : 簽發時間戳記 any : 任意 clientAuth : 用戶端認證 OCSPSigning : OCSP 簽名	serverAuth
EnableCrl	boolean	否	是否啟用 CRL 服務 0 - 否 1 - 是	1
CrlDay	integer	否	CRL 有效期間 1-365 天	30
Tags	array<object>	否	標籤列表。
	object	否	標籤列表。
Key	string	否	標籤鍵。	testKey
Value	string	否	標籤值。	test
ResourceGroupId	string	否	資源分組 ID。	rg-ae****vty
ClientToken	string	否	用於保證請求的等冪性。由用戶端產生該參數值，要保證在不同請求間唯一，最大值不超過 64 個 ASCII 字元，且該參數值中不能包含非 ASCII 字元。	XXX

返回參數

名稱	類型	描述	樣本值
	object	對象。
RequestId	string	本次調用請求的 ID，是由阿里雲為該請求產生的唯一識別碼，可用於排查和定位問題。	15C66C7B-671A-4297-9187-2C4477247A74
Identifier	string	本次請求建立的子 CA 憑證的唯一識別碼。	160ae6bb538d538c70c01f81dcf2****
Certificate	string	本次調用建立的 PEM 格式認證。	-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----
CertificateChain	string	本次調用建立的認證的 CA 憑證鏈。	-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n......\n-----END CERTIFICATE-----\n

serverAuth :伺服器認證
clientAuth :用戶端認證
codeSigning :程式碼簽署
emailProtection :郵件保護
timeStamping :時間戳記
OCSPSigning :OCSP 簽名
其他擴充金鑰使用方法 OID

樣本

正常返回樣本

JSON格式

{
  "RequestId": "15C66C7B-671A-4297-9187-2C4477247A74",
  "Identifier": "160ae6bb538d538c70c01f81dcf2****",
  "Certificate": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----",
  "CertificateChain": "-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n-----BEGIN CERTIFICATE-----\\n......\\n-----END CERTIFICATE-----\\n"
}

錯誤碼

訪問錯誤中心查看更多錯誤碼。

變更歷史

更多資訊，參考變更詳情。