Skip to main content

So erhalten Sie Ihr Signed HTTP Exchange-Zertifikat

So erhalten Sie ein ECC TLS-Zertifikat mit der Erweiterung „CanSignHttpExchanges“

Benötigen Sie ein TLS-Zertifikat, das die Erweiterung „CanSignHttpExchanges“ umfasst?

DigiCert freut sich, unter den ersten Zertifizierungsstellen zu sein, die diese Erweiterung in einem ECC TLS-Zertifikat unterstützen, da wir innovative Technologien und die Weiterentwicklung der Internetprotokolle zu fördern versuchen. Weitere Informationen finden Sie unter Bessere AMP-URLs mit Signed HTTP Exchange.

Wichtig

Dieses ECC TLS-Zertifikat mit der Erweiterung „CanSignHttpExchanges“ kann nur für den unterzeichneten HTTP-Austausch verwendet werden. Sie benötigen also zwei Zertifikate für den Server: eines für TLS-Verbindungen und eines für die Unterzeichnung des HTTP-Austauschs. Chrome verwendet dieses TLS-Zertifikat mit der Erweiterung „CanSignHttpExchanges“ nur für den signierten Austausch und lehnt es für TLS-Verbindungen ab.

Um Ihr ECC TLS-Zertifikat mit der Erweiterung „CanSignHttpExchanges“ zu erhalten, um mit dem Testen dieser AMP-URL-Verbesserung beginnen zu können, müssen Sie die genannten Aufgaben in dieser Anleitung erledigen:

Ihr CertCentral-Konto erhalten

Sie müssen zuerst Ihr CertCentral-Konto aktivieren. Dieses Konto wurde speziell dafür eingerichtet, ein TLS-Zertifikat mit der „CanSignHttpExchanges“-Erweiterung zu bestellen.

Ihr CertCentral-Konto erhalten

Sie haben bereits ein DigiCert-Konto? Keine Sorge, unsere Experten helfen Ihnen, Ihr Konto zu verwalten. Wenden Sie sich an Ihren Kundenbetreuer oder an den Support von DigiCert.

Einrichten des CAA-Ressourceneintrags Ihrer Domäne

Damit eine Zertifizierungsstelle (CA) Ihr Zertifikat mit der „CanSignHttpExchanges“-Erweiterung ausstellen kann, müssen Sie Ein einmaliges Setup im DNS-Eintrag der Domäne vornehmen und den Parameter „cansignhttpexchanges=yes“ hinzufügen.

example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Vor der Ausstellung eines Zertifikats mit der „CanSignHttpExchanges“-Erweiterung prüft eine CA (wie DigiCert), ob der CAA-Ressourceneintrags Ihrer Domäne über eine gültige Eigenschaft mit diesem Parameter verfügt. Wenn der Eintrag den Parameter „cansignhttpexchanges=yes“ enthält, können wir das Zertifikat ausstellen. Falls die Domäne nicht über einen CAA-Ressourceneintrag verfügt oder der Eintrag nicht diesen Parameter enthält, können wir das Zertifikat nicht ausstellen.

Eine ECC-CSR erstellen

Teil der Spezifikationen der „Signed HTTP Exchanges“-Technologie ist, dass das TLS-Zertifikat, das verwendet wird, um den Austausch zu unterzeichnen, ein ECC-Schlüsselpaar (Elliptic Curve Cryptology) erfordert.

Bei der Bestellung eines TLS-Zertifikats mit der „CanSignHttpExchanges“-Erweiterung müssen Sie mit dem Auftrag einn ECC-CSR senden.

Bestellen Sie Ihr TLS-Zertifikate

Klicken Sie in Ihrem CertCentral-Konto im Menü der Seitenleiste auf Ein Zertifikat beantragen, und wählen Sie ein Zertifikat aus.

Falls Sie nicht sicher sind, welches Zertifikat Sie benötigen, klicken Sie auf Ein Zertifikat beantragen > Produktübersicht. Sehen Sie sich auf der Seite Zertifikat anfordern die Zertifikatsoptionen an. Wählen Sie dann das gewünschte Zertifikat aus.

Einbeziehen der „CanSignHttpExchanges“-Erweiterung

Beim Bestellen des TLS-Zertifikats müssen Sie die CanSignHttpExchanges-Erweiterung in das Zertifikat einbeziehen.

Wichtig

Dem Branchenstandard entsprechend haben Zertifikate mit einer „Signed HTTP Exchange“-Erweiterung eine maximale Gültigkeit von 90 Tagen.

Erweitern Sie auf der Seite Antrag des Zertifikats die Option Zusätzliche Zertifikatsoptionen. Aktivieren Sie unter Signed HTTP Exchanges die Option Die Erweiterung CanSignHttpExchanges in das Zertifikat einbeziehen.

include-cansignhttpexchanges-extension-3_width-800.png

Erstellen einer ACME-Verzeichnis-URL für ein Signed HTTP Exchange-Zertifikat

Beziehen Sie beim Erstellen einer ACME-Verzeichnis-URL für Ihr „Signed HTTP Exchange“-Zertifikat die CanSignHttpExchanges-Erweiterung in das Zertifikat ein.

Weitere Informationen finden Sie unter ACME-Verzeichnis-URLs für Signed HTTP-Exchange-ZertifikateACME-Verzeichnis-URLs für Signed HTTP-Exchange-Zertifikate