So erhalten Sie Ihr Signed HTTP Exchange-Zertifikat

How to get an ECC TLS certificate with the CanSignHttpExchanges extension

Benötigen Sie ein TLS-Zertifikat, das die Erweiterung „CanSignHttpExchanges“ umfasst? DigiCert freut sich, unter den allerersten Zertifizierungsstellen zu sein, die diese Erweiterung in einem ECC TLS-Zertifikat unterstützen, da wir innovative Technologien und die Weiterentwicklung der Internetprotokolle zu fördern versuchen. Weitere Informationen finden Sie in Bessere AMP-URLs mit Signed HTTP Exchange.

Dieses ECC TLS-Zertifikat mit der Erweiterung „CanSignHttpExchanges“ kann nur für den unterzeichneten HTTP-Austausch verwendet werden. Sie benötigen also zwei Zertifikate für den Server: eines für TLS-Verbindungen und eines für die Unterzeichnung des HTTP-Austauschs. Chrome verwendet dieses TLS-Zertifikat mit der Erweiterung „CanSignHttpExchanges“ nur für den signierten Austausch und lehnt es für TLS-Verbindungen ab.

Um Ihr ECC TLS-Zertifikat mit der Erweiterung „CanSignHttpExchanges“ zu erhalten, um mit dem Testen dieser AMP-URL-Verbesserung beginnen zu können, müssen Sie die genannten Aufgaben in dieser Anleitung erledigen.

Einrichten Ihres CertCentral-Kontos

Sie müssen zuerst Ihr CertCentral-Konto aktivieren. Dieses Konto wurde speziell dafür eingerichtet, ein TLS-Zertifikat mit der „CanSignHttpExchanges“-Erweiterung zu bestellen.

Einrichten Ihres CertCentral-Kontos

Sie haben bereits ein DigiCert-Konto? Keine Sorge, unsere Experten helfen Ihnen, Ihr Konto zu verwalten. Wenden Sie sich an Ihren Kundenbetreuer oder an unser Supportteam.

Einrichten des CAA-Ressourceneintrags Ihrer Domäne

Damit eine Zertifizierungsstelle (CA) Ihr Zertifikat mit der „CanSignHttpExchanges“-Erweiterung ausstellen kann, müssen Sie Ein einmaliges Setup im DNS-Eintrag der Domäne vornehmen und den Parameter "cansignhttpexchanges=yes" hinzufügen.

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Vor der Ausstellung eines Zertifikats mit der „CanSignHttpExchanges“-Erweiterung prüft eine CA (wie DigiCert), ob der CAA-Ressourceneintrags Ihrer Domäne über eine gültige Eigenschaft mit diesem Parameter verfügt. Wenn der Eintrag den Parameter "cansignhttpexchanges=yes", enthält, können wir das Zertifikat ausstellen. Falls die Domäne nicht über einen CAA-Ressourceneintrag verfügt oder der Eintrag nicht diesen Parameter enthält, können wir das Zertifikat nicht ausstellen.

Einen ECC-CSR erstellen

Teil der Spezifikationen der „Signed HTTP Exchanges“-Technologie ist, dass das TLS-Zertifikat, das verwendet wird, um den Austausch zu unterzeichnen, ein ECC-Schlüsselpaar (Elliptic Curve Cryptology) erfordert.

Bei der Bestellung eines TLS-Zertifikat mit der „CanSignHttpExchanges“-Erweiterung müssen Sie mit dem Auftrag einen ECC-CSR senden.

Bestellen Sie Ihr TLS-Zertifikate

Klicken Sie in Ihrem CertCentral-Konto im Menü der Seitenleiste auf Ein Zertifikat beantragen, und wählen Sie ein Zertifikat aus. Falls Sie nicht sicher sind, welches Zertifikat Sie benötigen, klicken Sie auf Ein Zertifikat beantragen > Produktübersicht. Schauen Sie sich auf der Seite Ein Zertifikat beantragen die Zertifikatsoptionen an, und wählen Sie das Zertifikat aus, das Sie bestellen möchten.

Einbeziehen der „CanSignHttpExchanges“-Erweiterung

Beim Bestellen des TLS-Zertifikats müssen Sie die CanSignHttpExchanges-Erweiterung in das Zertifikat einbeziehen.

Dem Branchenstandard entsprechend haben Zertifikate mit einer „Signed HTTP Exchange“-Erweiterung eine maximale Gültigkeit von 90 Tagen.

Erweitern Sie auf der Seite Antrag des Zertifikats Zusätzliche Zertifikatoptionen, und aktivieren Sie unter Signed HTTP Exchanges, Die Erweiterung CanSignHttpExchanges auf dem Zertifikat einbeziehen.

Include the CanSignHttpExchanges extension in the certificate

Erstellen einer ACME-Verzeichnis-URL für ein "Signed HTTP Exchange"-Zertifikat

Beziehen Sie beim Erstellen einer ACME-Verzeichnis-URL für Ihr „Signed HTTP Exchange“-Zertifikat die CanSignHttpExchanges-Erweiterung in das Zertifikat ein.

Für weitere Informationen: ACME-Verzeichnis-URLs für Signed HTTP-Exchange-Zertifikate.