Obtenir un certificat Signed HTTP Exchanges

How to get an ECC TLS certificate with the CanSignHttpExchanges extension

Vous avez besoin d’un certificat TLS avec une extension CanSignHttpExchanges ? Cherchant à encourager les technologies novatrices et l’avancement des protocoles Web, DigiCert se réjouit de compter parmi les premières autorités de certification à prendre en charge cette extension dans un certificat ECC TLS. Pour plus d’informations, consultez la page Display better AMP URLs with Signed HTTP Exchange (Optimiser les URL AMP grâce aux échanges HTTP signés).

Ce certificat ECC TLS avec extension CanSignHttpExchanges ne s’utilise que pour les échanges HTTP signés. Vous aurez donc besoin de deux certificats pour le serveur : un pour les connexions TLS et l’autre pour la signature des échanges HTTP. Chrome utilise ce certificat TLS avec l’extension CanSignHttpExchanges seulement pour les échanges signés et le refuse pour les connexions TLS.

Pour obtenir votre certificat ECC TLS avec l’extension CanSignHttpExchanges et commencer à tester l’optimisation des URL AMP, vous devez exécuter les tâches décrites dans ces instructions.

Ouvrir un compte CertCentral

Tout d’abord, vous devrez activer votre compte CertCentral. Ce compte est spécialement conçu pour commander un certificat TLS avec l’extension CanSignHttpExchanges.

Ouvrir un compte CertCentral

Vous êtes déjà titulaire d’un compte DigiCert ? Ne vous inquiétez pas, nos experts peuvent vous aider à le configurer. Contactez votre représentant commercial ou notre équipe de support.

Configurer l’enregistrement de ressource CAA de votre domaine

Pour qu’une autorité de certification (AC) puisse émettre un certificat avec l’extension CanSignHttpExchanges, vous devez procéder à une configuration unique dans l’enregistrement DNS du domaine et ajouter le paramètre "cansignhttpexchanges=yes" à l’enregistrement.

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Avant d’émettre votre certificat avec l’extension CanSignHttpExchanges, une AC (telle que DigiCert) vérifie si la propriété de ce paramètre est valide dans l’enregistrement de ressource CAA du domaine. Si l’enregistrement contient le paramètre "cansignhttpexchanges=yes",, le certificat peut être émis. Si le domaine ne dispose pas d’enregistrement de ressource CAA ou si l’enregistrement ne contient pas ce paramètres, le certificat ne peut pas être émis.

Créer une CSR ECC

Conformément aux spécifications de la technologie Signed HTTP Exchanges, le certificat TLS utilisé pour signer l’échange nécessite une paire de clés ECC (Elliptic Curve Cryptology).

Pour commander un certificat TLS avec l’extension CanSignHttpExchanges, vous devez envoyer une demande de signature de certificat ECC.

Commander un certificat TLS

Dans votre compte CertCentral, dans le menu latéral, cliquez sur Request a Certificate (Demander un certificat), puis choisissez un certificat. En cas de doute sur le certificat à commander, cliquez sur Request a Certificate > Product Summary (Demander un certificat > Récapitulatif des produits). Sur la page Request a Certificate (Demander un certificat), regardez les différents certificats et choisissez celui que vous souhaitez commander.

Inclure l’extension CanSignHttpExchanges

Lorsque vous commandez un certificat TLS, veillez à bien inclure l’extension CanSignHttpExchanges dans le certificat.

Conformément aux normes de l’industrie, les certificats avec une extension Signed HTTP Exchange ont une période de validité limitée à 90 jours.

Sur la page Request (Demande) du certificat, développez le menu Additional Certificate Options (Options de certificat supplémentaires) et sous Signed HTTP Exchanges (Échanges HTTP signés),, cochez la case Include the CanSignHttpExchanges extension in the certificate (Inclure l’extension CanSignHttpExchanges dans le certificat).

Include the CanSignHttpExchanges extension in the certificate

Créer une"URL de répertoire ACME" pour certificat « Signed HTTP Exchange »

Lorsque vous créez une URL de répertoire ACME pour votre certificat Signed HTTP Exchange, veillez à bien inclure l’extension CanSignHttpExchanges dans le certificat.

Pour plus d’informations, consultez la page URL de répertoire ACME pour les certificats Signed HTTP Exchange.