SXG (Signed HTTP Exchanges)証明書を取得する
CanSignHttpExchanges 機能拡張の入ったECC SSL/TLS証明書の入手方法
CanSignHttpExchanges機能拡張が入ったSSL/TLS証明書が必要ですか?なら、是非デジサートまでどうぞ。イノベーションとウェブプロトコルの発展を推進するデジサートは、ECC TLS証明書でこの機能拡張を最初にサポートした認証局のひとつです。 詳細は、AMPのURL表示をわかりやすくするSXG(Signed HTTP Exchange)を参照してください。
Important
CanSignHttpExchanges機能拡張が入ったこのECC TLS証明書は、SXGのためでのみ使用できます。従って、サーバには2種類の証明書が必要になります。SSL/TLS接続用と、Signed HTTP exchanges署名用です。 Chromeでは、CanSignHttpExchanges拡張が入ったSSL/TLS証明書は、signed HTTP exchangesでのみ使用され、SSL/TLS接続では拒否されてしまうためです。
CanSignHttpExchanges拡張が入ったECC SSL/TLS証明書を取得して、AMPのURL表示が実際どれほど改善されるのかテストをしてみませんか。そのためには、以下のタスクを完了させる必要があります。
CertCentralアカウントに申し込む
まず、お客様のCertCentralアカウントをアクティベートする必要があります。このアカウントは、CanSignHttpExchanges機能拡張が入ったSSL/TLS証明書を注文するために特別に用意されたアカウントです。
弊社エキスパートが、お客様のアカウントの管理をお手伝いいたします。お客様のアカウント担当者、または Webフォームでお問い合わせください。
お客様のドメインのCAAレコードを設定する
認証局がCanSignHttpExchanges拡張入りの証明書を発行するためには、お客様のドメインのDNSレコードを一度だけ編集し、cansignhttpexchanges=yesのパラメータを追加しておく必要があります。
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
デジサートなどの認証局は、CanSignHttpExchanges拡張が入った証明書を発行する前に、このパラメータを使ってドメインのCAAリソースレコードの確認を行います。レコードに cansignhttpexchanges=yes が見つかれば、証明書は発行されます。 もしドメインにCAAリソースレコードがない場合、またはレコードにこのパラメータがない場合は、証明書は発行できません。
ECC CSRを作成する
Signed HTTP Exchangesの規格として、exchangeの署名に使われるSSL/TLS証明書にはECC鍵ペアが必要とされます。
CanSignHttpExchanges機能拡張が入ったSSL/TLS証明書の注文には、ECCのCSR(証明書署名要求)の提出が必要になります。
Apache : ECC CSRの作成とECC SSL/TLS証明書のインストール
Microsoft Servers : Microsoftサーバ: MicrosoftサーバでのECC CSRの作成とECC SSL/TLS証明書のインストール
SSL/TLS証明書を注文する
まずCertCentralのアカウントに入り、サイドバーのメニューで「証明書の申請」をクリックし、希望する証明書を選択します。どの証明書が必要かよくわからない場合は、証明書の申請> 製品概要をクリックします。 証明書の申請ページで、証明書の各種オプションを確認し、そして該当する証明書を選択します。
CanSignHttpExchanges拡張機能を含めるのを忘れずに
SL/TLS証明書を注文する際、CanSignHttpExchanges拡張機能が入っていることを確認しましょう。
Important
業界基準に基づき、HTTP Signed Exchange拡張機能が入っている証明書の有効期間は、最大90日となっています。
証明書の申請ページで、追加証明書オプションを展開し、Signed HTTP Exchanges (SXG)のところで、CanSignHttpExchanges拡張機能を含めるにチェックマークを入れます。