Signed HTTP Exchanges 証明書を取得する

CanSignHttpExchanges 拡張子付き ECC TLS 証明書の取得方法

CanSignHttpExchanges 拡張子を含む TLS 証明書が必要ですか?DigiCert は現在、ECC TLS 証明書中でこの拡張子をサポートする初の CA に含まれます。これは、当社が、革新的テクノロジを推進し、ウェブプロトコルの向上に取り組んできたためです。詳細は、「Signed HTTP Exchange で AMP URL の表示を改善する」を参照してください。

CanSignHttpExchanges 拡張子が付いたこの ECC TLS 証明書は、Signed HTTP Exchanges でのみ使用可能です。そのため、サーバーには、TLS 接続用に1つと、HTTP Exchanges 署名用に1つの2つの証明書が必要です。Chrome は、CanSignHttpExchanges 署名付き交換に拡張子が付いたこの TLS 証明書のみを使用し、TLS 接続用の場合は拒否します。

この AMP URL 改善のテストを開始できるように、CanSignHttpExchanges 拡張子付きの ECC TLS 証明書を取得するには、これらの指示に記載のタスクを完了する必要があります。

CertCentral アカウントを取得する

はじめに、CertCentral アカウントを有効にする必要があります。このアカウントは、CanSignHttpExchanges 拡張子付きの TLS 証明書をオーダーするために個別セットアップされています。

CertCentral アカウントを取得する

DigiCert アカウントはすでにお持ちですか?心配しないでください。当社のエキスパートがお客様のアカウント管理をサポートすることができます。アカウント代理人に連絡するか、サポートチームまでお問い合わせください。

お使いのドメインの CAA リソースレコードをセットアップする

認証局 (CA) が CanSignHttpExchanges 拡張子月尾証明書を発行するには、ドメインの DNS レコードを一度セットアップし、"cansignhttpexchanges=yes" パラメータをレコードに追加する必要があります。

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

CanSignHttpExchanges 拡張子月の証明書を発行する前に、CA (DigiCert など) は、そのドメインの CAA リソースレコードにこのパラメータが入った有効な特性があるかをチェックします。レコードに "cansignhttpexchanges=yes" が含まれている場合、,証明書を発行することができます。ドメインに CAA リソースレコードがないか、またはレコードにこのパラメータが含まれていない場合は、証明書を発行することはできません。

ECC CSR を作成する

Signed HTTP Exchanges テクノロジの仕様書の一部として、交換の署名に使用した TLS 証明書には、Elliptic Curve Cryptology (ECC) キーペアが必要です。

CanSignHttpExchanges 拡張子付きの TLS 証明書をオーダーするには、オーダーとともに ECC 証明書署名申請 (CSR) を提出する必要があります。

TLS 証明書をオーダーする

サイドバーメニューの CertCentral アカウントで、[証明書を申請する] をクリックし、証明書を選択します。どの証明書が必要かがよく分からない場合は、[証明書を申請する] >[製品サマリー]の順でクリックします。[証明書を申請する] ページで、証明書オプションを一覧し、必要な証明書を選択します。

CanSignHttpExchanges 拡張子を含める

TLS をオーダーする場合、CanSignHttpExchanges 拡張子を証明書に含めたかを確認します。

業界基準により、Signed HTTP Exchange 拡張子を含む証明書には、90日の最小有効期限の制限があります。

証明書の [申請] ページで、[追加証明書オプション] を拡張し、[Signed HTTP Exchanges]下で、,「CanSignHttpExchanges 拡張子を証明書に含める」にチェックを入れます。

Include the CanSignHttpExchanges extension in the certificate

Signed HTTP Exchange"証明書"ACME ディレクトリ URL を作成する

ACME ディレクトリ URL を Signed HTTP Exchange 証明書について作成する場合、CanSignHttpExchanges 拡張子を証明書に含めているかを確認します。

詳細は、「Signed HTTP Exchange 証明書用の ACME ディレクトリ URL」を参照してください。