Obtener su certificado de Intercambios firmados de HTTP

Cómo obtener un certificado ECC TLS con la extensión CanSignHttpExchanges

¿Necesita un certificado TLS que incluye la extensión CanSignHttpExchanges? DigiCert tiene el agrado de estar entre las primeras Autoridades de certificados que apoyan esta extensión en un certificado ECC TLS, ya que buscamos incentivar las tecnologías innovadoras y el avance de los protocolos web. Para obtener más información, vea Mostrar mejores ULS AMP con Intercambio firmado de HTTP.

Este certificado ECC TLS con la extensión CanSignHttpExchanges solo puede usarse para Intercambios firmados de HTTP. Por lo que necesitará dos certificados: uno para las conexiones TLS y el otro para firmar los intercambios HTTP. Chrome solo usa este certificado TLS con extensión CanSignHttpExchanges para los intercambios firmados, por lo que lo rechazará si es para conexiones TLS.

Para obtener su certificado ECC TLS con la extensión CanSignHttpExchanges incluida para que pueda comenzar a probar esta mejora de URL AMP, deberá completar las tareas mencionadas en estas indicaciones.

Obtener su cuenta de CertCentral

Primero, debe activar su cuenta de CertCentral. Esta cuenta está específicamente configurada para pedir un certificado TLS con la extensión CanSignHttpExchanges.

Obtener su cuenta de CertCentral

¿Ya tiene una cuenta de DigiCert? No se preocupe, nuestros expertos pueden ayudarlo a administrar su cuenta. Comuníquese con el representante de su cuenta o póngase en contacto con nuestro Equipo de asistencia.

Configurar el registro de recursos CAA de su dominio

Para que una Autoridad de certificados (CA) emita su certificado con la extensión CanSignHttpExchanges, debe hacer una configuración por única vez en el registro DNS del dominio y agregar el parámetro "cansignhttpexchanges=yes" al registro.

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Antes de emitir su certificado con la extensión CanSignHttpExchanges, una CA (como DigiCert) verifica que el registro de recursos CAA del dominio tenga una propiedad válida con este parámetro. Si el registro contiene "cansignhttpexchanges=yes",, podemos emitir el certificado. Si el dominio no tiene un registro de recurso CAA o si el registro no contiene este parámetro, no podemos emitir el certificado.

Crear una ECC CSR

Como parte de las especificaciones tecnológicas de los Intercambios firmados de HTTP, el certificado TLS usado para firmar el intercambio requiere un par de claves de Criptografía de curva elíptica (ECC).

Para pedir un certificado TLS con la extensión CanSignHttpExchanges, debe enviar una solicitud de firma de certificado (CSR) ECC con el pedido.

Pedir su certificado TLS

En su cuenta de CertCentral, en el menú lateral, haga clic en Solicitar un certificado y elija un certificado. Si no está seguro de qué certificado quiere, haga clic en Solicitar un certificado > Resumen de producto. En la página Solicitar un certificado, mire las opciones de certificado y luego elija el que desea.

Incluir la extensión CanSignHttpExchanges

Cuando pida su certificado TLS, asegúrese de incluir la extensión CanSignHttpExchanges en el certificado.

Según los estándares de la industria, los certificados que incluyen la extensión de Intercambio firmado de HTTP tienen un límite de validez máximo de 90 días.

En la página Solicitud del certificado, expanda Opciones adicionales del certificado y en Intercambios firmados HTTP,, seleccione Incluir la extensión CanSignHttpExchanges en el certificado.

Include the CanSignHttpExchanges extension in the certificate

Crear un certificado de"Intercambio firmado de HTTP" para URL del directorio ACME

Cuando cree una URL del directorio ACME para su certificado de Intercambio firmado de HTTP, asegúrese de incluir la extensión CanSignHttpExchanges en el certificado.

Para obtener más información, vea URL del directorio ACME para certificados de Intercambio firmado de HTTP.