Richiedi il tuo certificato Scambio HTTP firmato

How to get an ECC TLS certificate with the CanSignHttpExchanges extension

Ti serve un certificato TLS che include l’estensione CanSignHttpExchanges? DigiCert è lieta di essere tra le primissime CA a supportare questa estensione in un certificato ECC TLS poiché cerchiamo di promuovere tecnologie innovative e il progresso dei protocolli web. Per ulteriori informazioni, consulta Visualizza URL AMP migliori con lo scambio HTTP firmato.

Questo certificato ECC TLS con l'estensione CanSignHttpExchanges può essere usato solo per gli scambi HTTP firmati. Quindi, ti serviranno due certificati per il server: uno per i collegamenti TLS e uno per gli scambi HTTP. Chrome utilizza questo certificato TLS con l'estensione CanSignHttpExchanges per gli scambi firmati solo e lo rifiuta per i collegamenti TLS.

Per richiedere il tuo certificato ECC TLS con l’estensione CanSignHttpExchanges inclusa in modo da poter iniziare a testare questo miglioramento dell’URL AMP, devi completare le operazioni elencate in queste istruzioni.

Richiedi il tuo account CertCentral

Prima di tutto, dovrai attivare il tuo account CertCentral. Questo account viene impostato appositamente per ordinare un certificato TLS con l’estensione CanSignHttpExchanges.

Richiedi il tuo account CertCentral

Hai già un account DigiCert? Non ti preoccupare, i nostri esperti possono aiutarti a gestire il tuo account. Contatta il tuo rappresentante account o il nostro team di assistenza.

Imposta il record risorsa CAA del tuo dominio

Affinché un’autorità di certificazione (CA) emetta il tuo certificato con l’estensione CanSignHttpExchanges, devi fare una configurazione una tantum nel record DNS del dominio e aggiungere il parametro "cansignhttpexchanges=yes" al record.

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Prima di emettere il tuo certificato con l’estensione CanSignHttpExchanges, una CA (come DigiCert) controlla il record risorsa CAA del dominio per una proprietà valida con questo parametro. Se il record contiene il parametro "cansignhttpexchanges=yes", possiamo emettere il certificato. Se il dominio non ha un record risorsa CAA o se il record non contiene questo parametro, non possiamo emettere il certificato.

Crea una CSR ECC

Come parte delle specifiche della tecnologia Scambi HTTP firmati, il certificato TLS usato per firmare lo scambio richiede una coppia di chiavi Elliptic Curve Cryptology (ECC).

Per ordinare un certificato TLS con l'estensione CanSignHttpExchanges, devi inviare una richiesta di firma certificato (CSR) ECC con l’ordine.

Ordina il tuo certificato TLS

Nel tuo account CertCentral, nel menu della barra laterale, fai clic su Richiedi un certificato e seleziona un certificato. Se non sei sicuro di quale certificato vuoi, fai clic su Richiedi un certificato > Riepilogo prodotti. Nella pagina Richiedi un certificato, osserva le opzioni certificato e scegli il certificato che desideri.

Includi l'estensione CanSignHttpExchanges

Quando ordini il tuo certificato TLS, verifica di includere l’estensione CanSignHttpExchanges nel certificato.

Secondo gli standard industriali, i certificati che includono l’estensione Signed HTTP Exchange hanno un limite di validità massimo di 90 giorni.

Nella pagina Richiesta del certificato, espandi Opzioni certificato aggiuntive e sotto Scambi HTTP firmati, seleziona Includi l'estensione CanSignHttpExchanges nel certificato.

Include the CanSignHttpExchanges extension in the certificate

Crea un URL directory ACME per il certificato"Scambio HTTP firmato" URL directory ACME

Quando crei un URL directory ACME per il tuo certificato Scambi HTTP firmati, verifica di includere l’estensione CanSignHttpExchanges nel certificato.

Per ulteriori informazioni, consulta URL directory ACME per certificati Scambio HTTP firmato.