Skip to main content

Obtenir un certificat Signed HTTP Exchanges

Comment obtenir un certificat ECC TLS avec l'extension CanSignHttpExchanges

Vous avez besoin d’un certificat TLS avec une extension CanSignHttpExchanges ?

Cherchant à encourager les technologies novatrices et l’avancement des protocoles Web, DigiCert se réjouit de compter parmi les premières autorités de certification à prendre en charge cette extension dans un certificat ECC TLS. Pour plus d’informations, consultez la page Display better AMP URLs with Signed HTTP Exchange (Optimiser les URL AMP grâce aux échanges HTTP signés).

Important

Ce certificat ECC TLS avec extension CanSignHttpExchanges ne s’utilise que pour les échanges HTTP signés. Vous aurez donc besoin de deux certificats pour le serveur : un pour les connexions TLS et l’autre pour la signature des échanges HTTP. Chrome utilise ce certificat TLS avec l’extension CanSignHttpExchanges seulement pour les échanges signés et le refuse pour les connexions TLS.

Pour obtenir votre certificat ECC TLS avec l’extension CanSignHttpExchanges et commencer à tester l’optimisation des URL AMP, vous devez exécuter les tâches décrites dans ces instructions.

Ouvrir un compte CertCentral

Tout d’abord, vous devez activer votre compte CertCentral. Ce compte est spécialement conçu pour commander un certificat TLS avec l’extension CanSignHttpExchanges.

Ouvrir un compte CertCentral

Vous êtes déjà titulaire d’un compte DigiCert ? Ne vous inquiétez pas, nos experts peuvent vous aider à le configurer. Contactez votre représentant commercial ou l’assistance DigiCert.

Configurer l’enregistrement de ressource CAA de votre domaine

Pour qu’une autorité de certification (AC) puisse émettre un certificat avec l’extension CanSignHttpExchanges, vous devez procéder à une configuration unique dans l’enregistrement DNS du domaine et ajouter le paramètre « cansignhttpexchanges=yes » à l’enregistrement.

example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Avant d’émettre votre certificat avec l’extension CanSignHttpExchanges, une AC (telle que DigiCert) vérifie si la propriété de ce paramètre est valide dans l’enregistrement de ressource CAA du domaine. Si l’enregistrement contient le paramètre cansignhttpexchanges=yes, nous pouvons émettre le certificat. Si le domaine ne dispose pas d’enregistrement de ressource CAA ou si l’enregistrement ne contient pas ce paramètres, le certificat ne peut pas être émis.

Créer une CSR ECC

Conformément aux spécifications de la technologie Signed HTTP Exchanges, le certificat TLS utilisé pour signer l’échange nécessite une paire de clés ECC (Elliptic Curve Cryptology).

Pour commander un certificat TLS avec l’extension CanSignHttpExchanges, vous devez envoyer une demande de signature de certificat ECC.

Commander un certificat TLS

Dans votre compte CertCentral, dans le menu latéral, cliquez sur Request a Certificate (Demander un certificat), puis choisissez un certificat.

En cas de doute sur le certificat à commander, cliquez sur Request a Certificate > Product Summary (Demander un certificat > Récapitulatif des produits). Sur la page Request a Certificate (Demander un certificat), regardez les différents certificats. Sélectionnez ensuite le certificat de votre choix.

Inclure l’extension CanSignHttpExchanges

Lorsque vous commandez un certificat TLS, veillez à bien inclure l’extension CanSignHttpExchanges dans le certificat.

Important

Conformément aux normes de l’industrie, les certificats avec une extension Signed HTTP Exchange ont une période de validité limitée à 90 jours.

Sur la page Request (Demande) du certificat, développez le menu Additional Certificate Options (Options de certificats supplémentaires). Sous Signed HTTP Exchanges (Échanges HTTP signés), cochez Include the CanSignHttpExchanges extension in the certificate (Inclure l’extension CanSignHttpExchanges dans le certificat).

include-cansignhttpexchanges-extension-3_width-800.png

Créer une URL de répertoire ACME pour certificat « Signed HTTP Exchange »

Lorsque vous créez une URL de répertoire ACME pour votre certificat Signed HTTP Exchange, veillez à bien inclure l’extension CanSignHttpExchanges dans le certificat.

Pour plus d'informations, consultez URL de répertoire ACME pour les certificats Signed HTTP ExchangeURL de répertoire ACME pour les certificats Signed HTTP Exchange