CreateSubInstance - 创建私有子CA实例--证书中心-火山引擎

文档中心

证书中心

私有子CA

CreateSubInstance - 创建私有子CA实例

调用本接口创建一个私有子CA（以下简称“子CA”）。子CA创建后默认启用并开始计费。

使用说明

子CA是企业内部信任链的中间环节。子CA的上一级是根CA，下一级是私有证书。您可以根据组织架构来定义子CA。
您调用本接口创建的是一个子CA实例。子CA实例创建后默认启用并开始计费。
子CA实例包含一个由指定的根CA签发的子CA证书。您可以使用子CA签发私有证书。

请求说明

接口名称：CreateSubInstance
请求方式：POST
请求地址：
- IPv4网络接入：pca.volcengineapi.com
- 双栈网络接入（IPv4/IPv6）：pca.volcengine-api.com

调试

API Explorer

您可以通过 API Explorer 在线发起调用，无需关注签名生成过程，快速获取调用结果。

去调试

请求参数

下表仅列出该接口特有的请求参数和部分公共参数。更多信息请见公共参数。

Query

参数	类型	是否必填	示例值	描述
Action	String	是	CreateSubInstance	要执行的操作，取值：CreateSubInstance。
Version	String	是	2025-10-01	API的版本，取值：2025-10-01。

Body

参数	类型	是否必填	示例值	描述
CsrCommon	Object	否	-	设置子CA证书的申请信息。
Contact	Object	否	-	设置子CA证书的联系人信息。
KeyAlg	String	否	RSA	设置子CA证书的密钥算法。该参数有以下取值： RSA ECDSA SM2
KeyParam	String	否	2048	设置子CA证书的密钥强度。根据 key_alg 的值，该参数有不同的取值。 key_alg 为 RSA 时，该参数的取值有：2048、3072、4096。 key_alg 为 ECDSA 时，该参数的取值有：P256、P384、P521。 key_alg 为 SM2 时，该参数无需设置。
HashAlg	String	是	SHA256	设置子CA证书的签名算法。该参数有以下取值： SHA256 SHA384 SHA512
Quantity	Integer	是	20	设置子CA证书的有效时长。根据 duration_type 的值，该参数有不同的取值范围。 duration_type为 year 时，该参数的取值范围为：1~29。 duration_type 为 month 时，该参数的取值范围为：1~359。 duration_type 为 day 时，该参数的取值范围为：1~10949。子CA的有效时长必须小于上一级CA实例（根CA实例）的有效时长。
DurationType	String	是	day	设置有效时长（quantity）的单位。该参数有以下取值： day month year
NotBefore	String	否	1678778206	子CA证书开始生效的时间。使用秒级时间戳表示。
NotAfter	String	否	1681401599	子CA证书过期的时间。使用秒级时间戳表示。
Tag	String	否	doc-test-RootCA	设置子CA证书的备注。
Csr	String	否	`-----BEGIN CERTIFICATE REQUEST-----`	PEM格式的CSR（Base64编码）。
OmitCsrContent	Boolean	否	true	是否使用传参覆盖CSR信息。
IssuerId	String	是	pca_root_aXPEF****	上一级CA实例（根CA实例）的ID。您可以调用 ListRootInstances 接口获取所有根CA实例的ID。
IdempotenceToken	String	否	123e4567-e89b-12d3-a456-426614174000	幂等性token，重放请求时只处理一个。
Extensions	Object	否	-	设置私有证书的扩展信息。
ProjectName	String	否	default	设置根CA所属项目。
Tags	Array of Object	否	-	为根CA设置标签。允许使用任意字符。

返回参数

下表仅列出本接口特有的返回参数。更多信息请参见返回结构。

参数	类型	示例值	描述
Certificate	String	`-----BEGIN CERTIFICATE----- MIID……XWlZ -----END CERTIFICATE-----`	子CA证书的内容。
RootCertificate	String	`-----BEGIN CERTIFICATE----- MIID……+o= -----END CERTIFICATE-----`	上一级CA证书（根CA证书）的内容。
InstanceId	String	pca_sub_MlRaK****	子CA实例的ID。该ID是证书中心为子CA实例分配的，用于唯一标识子CA。

请求示例

POST /?Action=CreateSubInstance&Version=2025-10-01 HTTP/1.1
Host: pca.volcengineapi.com
Content-Type: application/json; charset=UTF-8
X-Date: 20251030T060130Z
X-Content-Sha256: 287e874e******d653b44d21e
Authorization: HMAC-SHA256 Credential=Adfks******wekfwe/20251030/cn-beijing/pca/request, SignedHeaders=host;x-content-sha256;x-date, Signature=47a7d934ff7b37c03938******cd7b8278a40a1057690c401e92246a0e41085f

{
  "CsrCommon": {
    "Subject": {
      "Country": [
        "CN"
      ],
      "Organization": [
        "Volcano\n"
      ],
      "OrganizationalUnit": [
        "ti"
      ],
      "Locality": [
        "海淀"
      ],
      "Province": [
        "北京"
      ],
      "StreetAddress": [
        "某某路某某号"
      ],
      "PostalCode": [
        "100080"
      ],
      "SerialNumber": "331D4CD014E4813AB8302E47DD9EB436DE2E7BDE",
      "CommonName": "Volcengine CA"
    },
    "Email": "zhangsan@example.com",
    "San": [
      "Volcengine CA"
    ]
  },
  "Contact": {
    "Name": "张三",
    "Email": "zhangsan@example.com",
    "PhoneNumber": "131****1111"
  },
  "KeyAlg": "RSA",
  "KeyParam": "2048",
  "HashAlg": "SHA256",
  "Quantity": 20,
  "DurationType": "day",
  "NotBefore": "1678778206",
  "NotAfter": "1681401599",
  "Tag": "doc-test-RootCA",
  "Csr": "`-----BEGIN CERTIFICATE REQUEST-----`",
  "OmitCsrContent": true,
  "IssuerId": "pca_root_aXPEF****",
  "IdempotenceToken": "123e4567-e89b-12d3-a456-426614174000",
  "Extensions": {
    "KeyUsages": {
      "DigitalSignature": true,
      "NonRepudiation": true,
      "KeyEncipherment": true,
      "DataEncipherment": true,
      "KeyAgreement": true,
      "KeyCertSign": true,
      "CrlSign": true,
      "EncipherOnly": true,
      "DecipherOnly": true
    },
    "ExtendedKeyUsages": {
      "ServerAuth": true,
      "ClientAuth": true,
      "CodeSigning": true,
      "EmailProtection": true,
      "TimeStamping": true,
      "OCSPSigning": true
    },
    "CustomExtensions": {
      "Critical": true,
      "ObjectIdentifier": "1.3.6.1.4.1.55555.1.1",
      "Value": "example_value"
    }
  },
  "ProjectName": "default",
  "Tags": [
    {
      "Key": "env",
      "Value": "test"
    }
  ]
}

返回示例

{
  "ResponseMetadata": {
    "RequestId": "202510301401351920681080449CE738",
    "Action": "CreateSubInstance",
    "Version": "2025-10-01",
    "Service": "pca",
    "Region": "cn-beijing"
  },
  "Result": {
    "Certificate": "`-----BEGIN CERTIFICATE----- MIID……XWlZ -----END CERTIFICATE-----`",
    "RootCertificate": "`-----BEGIN CERTIFICATE----- MIID……+o= -----END CERTIFICATE-----`",
    "InstanceId": "pca_sub_MlRaK****"
  }
}

错误码

下表为您列举了该接口与业务逻辑相关的错误码。公共错误码请参见公共错误码文档。

状态码	错误码	错误信息	说明
200	MalformedRequest	The request is malformed	请求参数格式不合法。
200	InternalError	The request has failed due to an unknown error.	未知错误。

最近更新时间：2026.01.07 17:39:54

这个页面对您有帮助吗？

有用

无用

证书中心

使用说明 #

请求说明 #

调试 #

请求参数 #

Query #

Body #

返回参数 #

请求示例 #

返回示例 #

错误码 #