Signed HTTP Exchanges証明書を取得する

はじめに、CertCentralアカウントをアクティブ化する必要があります。このアカウントは、CanSignHttpExchangesエクステンションが含まれるTLS証明書のオーダー専用にセットアップされるものです。

CertCentralアカウントを取得する

すでにデジサートアカウントをお持ちでも、心配する必要はありません。デジサートのエキスパートがアカウントの管理をお手伝いします。アカウント担当者、またはデジサートサポートにお問い合わせください。

CanSignHttpExchangesエクステンションが含まれる証明書を認証局（CA）が発行するには、ドメインのDNSレコードで1回限りのセットアップを実行して、レコードに「cansignhttpexchanges=yes」パラメータを追加する必要があります。

example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

CA（デジサートなど）は、CanSignHttpExchanges拡張子が含まれる証明書を発行する前に、このパラメータがある有効なプロパティについてドメインのCAAリソースレコードをチェックします。レコードに「cansignhttpexchanges=yes」が含まれていれば、証明書の発行が可能です。ドメインにCAAリソースレコードがない、またはレコードにこのパラメータが含まれていない場合、証明書を発行することはできません。

Signed HTTP Exchangesテクノロジー仕様の一環として、HTTP Exchangeの署名に使用されるTLS 証明書にはElliptic Curve Cryptology（ECC）鍵ペアが必要です。

CanSignHttpExchangesエクステンションが含まれるTLS証明書をオーダーするには、オーダーとともにECC証明書署名要求（CSR）を送信する必要があります。

CertCentralアカウントのサイドバーメニューで［証明書の申請］をクリックし、証明書を選択します。

選択する証明書がよく分からない場合は、［証明書の申請］＞［製品サマリー］の順にクリックします。［証明書の申請］ページで、証明書オプションを確認します。その後、証明書を選択します。

CanSignHttpExchangesエクステンションを含める

TLS証明書をオーダーするときは、証明書にCanSignHttpExchangesエクステンションを含めるようにしてください。

重要

業界基準に従って、Signed HTTP Exchangeエクステンションが含まれる証明書には90日の有効期限上限が設定されています。

証明書の［申請］ページで、［その他の証明書オプション］を展開します。［Signed HTTP Exchanges］で、［証明書にCanSignHttpExchangesエクステンションを含めます］にチェックを入れます。

Signed HTTP Exchange証明書のACMEディレクトリURLを作成するときは、証明書にCanSignHttpExchangesエクステンションを含めるようにしてください。

詳細については、「」を参照してくださいSigned HTTP Exchange証明書用のACMEディレクトリURLSigned HTTP Exchange証明書用のACMEディレクトリURL