Obtener su certificado de intercambios firmados de HTTP
Cómo obtener un certificado ECC TLS con la extensión CanSignHttpExchanges
¿Necesita un certificado TLS que incluye la extensión CanSignHttpExchanges?
DigiCert se complace en ser una de las primeras CA en apoyar esta extensión en un certificado ECC TLS, ya que buscamos fomentar las tecnologías innovadoras y el avance de los protocolos web. Para obtener más información, vea Mostrar mejores URL AMP con Intercambio firmado de HTTP.
Importante
Este certificado ECC TLS con la extensión CanSignHttpExchanges solo puede usarse para Intercambios firmados de HTTP. Por lo que necesitará dos certificados: uno para las conexiones TLS y el otro para firmar los intercambios HTTP. Chrome solo utiliza este certificado TLS con la extensión CanSignHttpExchanges para los intercambios firmados y lo rechazará para las conexiones TLS.
Para obtener su certificado ECC TLS con la extensión CanSignHttpExchanges incluida y poder empezar a probar esta mejora de la URL de AMP, debe completar las tareas indicadas en estas instrucciones:
Obtener su cuenta de CertCentral
En primer lugar, debe activar su cuenta de CertCentral. Esta cuenta está específicamente configurada para pedir un certificado TLS con la extensión CanSignHttpExchanges.
Obtener su cuenta de CertCentral
¿Ya tiene una cuenta de DigiCert? No se preocupe, nuestros expertos pueden ayudarlo a administrar su cuenta. Comuníquese con el representante de su cuenta o póngase en contacto con soporte técnico de DigiCert.
Configurar el registro de recursos CAA de su dominio
Para que una Autoridad de certificados (CA) emita su certificado con la extensión CanSignHttpExchanges, debe hacer una configuración por única vez en el registro DNS del dominio y agregar el parámetro "cansignhttpexchanges=yes" al registro.
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
Antes de emitir su certificado con la extensión CanSignHttpExchanges, una CA (como DigiCert) verifica que el registro de recursos CAA del dominio tenga una propiedad válida con este parámetro. Si el registro contiene cansignhttpexchanges=yes, podemos emitir el certificado. Si el dominio no tiene un registro de recursos CAA, o si el registro no contiene este parámetro, no podemos emitir el certificado.
Crear una ECC CSR
Como parte de las especificaciones tecnológicas de los Intercambios firmados de HTTP, el certificado TLS usado para firmar el intercambio requiere un par de claves de Criptografía de curva elíptica (ECC).
Para pedir un certificado TLS con la extensión CanSignHttpExchanges, debe enviar una solicitud de firma de certificado (CSR) ECC con el pedido.
Servidores de Microsoft: Servidores de Microsoft: Crear CSR ECC e instalar certificado ECC SSL
Pedir su certificado TLS
En su cuenta de CertCentral, en el menú lateral, haga clic en Solicitar un certificado y elija un certificado.
Si no está seguro de qué certificado quiere, haga clic en Solicitar un certificado > Resumen de producto. En la página Solicitud de un certificado, revise las opciones de certificado. A continuación, elija el certificado que desee.
Incluir la extensión CanSignHttpExchanges
Cuando pida su certificado TLS, asegúrese de incluir la extensión CanSignHttpExchanges en el certificado.
Importante
Según los estándares de la industria, los certificados que incluyen la extensión de Intercambio firmado de HTTP tienen un límite de validez máximo de 90 días.
En la página Solicitud, expanda Opciones adicionales del certificado. En Intercambios firmados de HTTP, marque Incluir la extensión CanSignHttpExchanges en el certificado.
Cree una URL del directorio ACME para un certificado de "Intercambio firmado de HTTP"
Cuando cree una URL del directorio ACME para su certificado de Intercambio firmado de HTTP, asegúrese de incluir la extensión CanSignHttpExchanges en el certificado.
Para obtener más información, consulte URL del directorio ACME para certificados de Intercambio firmado de HTTP