Skip to main content

Signed HTTP Exchanges証明書を取得する

CanSignHttpExchanges拡張機能が含まれるECC TLS証明書を取得する方法

CanSignHttpExchanges拡張機能が含まれるTLS証明書が必要ですか?

革新的なテクノロジーとウェブプロトコルの進歩を奨励するデジサートは、ECC TLS証明書でのこの拡張機能のサポートを最初に導入した証明局の1つです。詳細については、「Signed HTTP Exchangeでより優れたAPM URLを表示する」を参照してください。

重要

CanSignHttpExchangesエクステンションが含まれるECC TLS証明書は、Signed HTTP Exchangesのみに使用できます。このため、サーバーには、TLS接続用の証明書と、HTTP Exchangesの署名用の証明書の2つ証明書が必要になります。Chromeは、Signed ExchangeのみにCanSignHttpExchangesエクステンションが含まれるECC TLS証明書を使用し、TLS接続ではこれを拒否します。

CanSignHttpExchangesエクステンションが含まれたECC TLS証明書を取得してAMP URL改善のテストを開始するには、以下の手順に記載されているタスクを完了する必要があります。

CertCentralアカウントを取得する

はじめに、CertCentralアカウントをアクティブ化する必要があります。このアカウントは、CanSignHttpExchangesエクステンションが含まれるTLS証明書のオーダー専用にセットアップされるものです。

CertCentralアカウントを取得する

すでにデジサートアカウントをお持ちでも、心配する必要はありません。デジサートのエキスパートがアカウントの管理をお手伝いします。アカウント担当者、またはデジサートサポートにお問い合わせください。

ドメインのCAAリソースレコードをセットアップする

CanSignHttpExchangesエクステンションが含まれる証明書を認証局(CA)が発行するには、ドメインのDNSレコードで1回限りのセットアップを実行して、レコードに「cansignhttpexchanges=yes」パラメータを追加する必要があります。

example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

CA(デジサートなど)は、CanSignHttpExchanges拡張子が含まれる証明書を発行する前に、このパラメータがある有効なプロパティについてドメインのCAAリソースレコードをチェックします。レコードに「cansignhttpexchanges=yes」が含まれていれば、証明書の発行が可能です。ドメインにCAAリソースレコードがない、またはレコードにこのパラメータが含まれていない場合、証明書を発行することはできません。

ECC CSRを作成する

Signed HTTP Exchangesテクノロジー仕様の一環として、HTTP Exchangeの署名に使用されるTLS 証明書にはElliptic Curve Cryptology(ECC)鍵ペアが必要です。

CanSignHttpExchangesエクステンションが含まれるTLS証明書をオーダーするには、オーダーとともにECC証明書署名要求(CSR)を送信する必要があります。

TLS証明書をオーダーする

CertCentralアカウントのサイドバーメニューで[証明書の申請]をクリックし、証明書を選択します。

選択する証明書がよく分からない場合は、[証明書の申請]>[製品サマリー]の順にクリックします。[証明書の申請]ページで、証明書オプションを確認します。その後、証明書を選択します。

CanSignHttpExchangesエクステンションを含める

TLS証明書をオーダーするときは、証明書にCanSignHttpExchangesエクステンションを含めるようにしてください。

重要

業界基準に従って、Signed HTTP Exchangeエクステンションが含まれる証明書には90日の有効期限上限が設定されています。

証明書の[申請]ページで、[その他の証明書オプション]を展開します。[Signed HTTP Exchanges]で、[証明書にCanSignHttpExchangesエクステンションを含めます]にチェックを入れます。

include-cansignhttpexchanges-extension-3_width-800.png

「Signed HTTP Exchange」証明書のACMEディレクトリURLを作成する

Signed HTTP Exchange証明書のACMEディレクトリURLを作成するときは、証明書にCanSignHttpExchangesエクステンションを含めるようにしてください。

詳細については、「」を参照してくださいSigned HTTP Exchange証明書用のACMEディレクトリURLSigned HTTP Exchange証明書用のACMEディレクトリURL