Holen Sie sich Ihr Signed-HTTP-Exchange-Zertifikat

Erwerb von ECC-TLS-Zertifikaten mit CanSignHttpExchanges-Erweiterung

Brauchen Sie ein TLS-Zertifikat mit der Erweiterung CanSignHttpExchanges? Wir bei DigiCert sind stolz darauf, eine der ersten Zertifizierungsstellen zu sein, die diese Erweiterung für ECC-TLS-Zertifikate unterstützen. Wir sehen dies als Teil unserer Vision, innovative neue Technologien und die Modernisierung von Web-Protokollen zu fördern. Weitere Informationen finden Sie unter Bessere AMP-URLs mit Signed HTTP Exchange.

ECC-TLS-Zertifikate mit der Erweiterung CanSignHttpExchanges sind speziell für die Anwendung mit Signed HTTP Exchange konzipiert. Deshalb benötigen Sie zwei Zertifikate für Ihren Server: eins für die TLS-Verbindungen und ein zweites, um HTTP-Kommunikationen zu signieren. Chrome nutzt das TLS-Zertifikat mit der Erweiterung CanSignHttpExchanges nur zum Signieren dieser Kommunikationen und wird es daher bei Anfragen für reguläre TLS-Verbindungen ablehnen.

Bevor Sie mit der Optimierung Ihrer AMP-URLs loslegen können, brauchen Sie also ein ECC-TLS-Zertifikat mit der Erweiterung CanSignHttpExchanges. Dafür sollten Sie die hier aufgeführten Schritte befolgen:

Erstellen Sie bei DigiCert ein CertCentral-Konto

Als Erstes sollten Sie ein CertCentral-Konto einrichten, das nur für die Anforderung von TLS-Zertifikaten mit der Erweiterung CanSignHttpExchanges genutzt wird.

Erstellen Sie bei DigiCert ein CertCentral-Konto

Sie haben bereits ein DigiCert-Konto? Kein Problem! Unsere Experten helfen Ihnen bei den nächsten Schritten. Wenden Sie sich einfach an Ihren Kundenberater oder an unser Support-Team.

Aktualisieren Sie Ihren CAA-Eintrag

Bevor eine Zertifizierungsstelle Zertifikate mit der Erweiterung CanSignHttpExchanges für Sie ausstellen kann, müssen Sie den Parameter „cansignhttpexchanges=yes“ in den CAA-Eintrag für die entsprechende Zertifizierungsstelle einfügen.

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Vor der Ausstellung eines Zertifikats mit der Erweiterung CanSignHttpExchanges prüft die Zertifizierungsstelle (zum Beispiel DigiCert), ob es einen CAA-Eintrag für sie gibt und ob er den Parameter „cansignhttpexchanges=yes“ enthält. Wenn ja, wird das Zertifikat ausgestellt. Wenn es keinen CAA-Eintrag für die Zertifizierungsstelle gibt oder der Eintrag den Parameter „cansignhttpexchanges=yes“ nicht enthält, kann das Zertifikat nicht aussgestellt werden.

Erzeugen Sie eine ECC-Signaturanforderung (Certificate Signing Requestoder CSR)

Um die technischen Anforderungen von Signed HTTP Exchange zu erfüllen, müssen die entsprechenden TLS-Zertifikate ECC-Schlüssel (Elliptic Curve Cryptography, Elliptische-Kurven-Kryptografie) nutzen.

Erzeugen Sie also bitte eine entsprechende Signaturanforderung und reichen Sie diese mit der Zertifikatsanforderung ein.

TLS-Zertifikat anfordern

Klicken Sie in der Seitenleiste in Ihrem CertCertral-Konto auf Zertifikat anfordern und wählen Sie eine Zertifikatsart aus. Wenn Sie nicht sicher sind, was für ein Zertifikat Sie benötigen, wählen Sie die Optionen Zertifikat anfordern > Produktübersicht. Schauen Sie sich auf der Seite Zertifikat anfordern die verschiedenen Zertifikatsarten an und wählen Sie die passende aus.

Erweiterung CanSignHttpExchanges angeben

Erweiterung CanSignHttpExchanges angeben.

Die Branchenstandards begrenzen die Gültigkeitsdauer von Zertifikaten mit dieser Erweiterung auf maximal 90 Tage.

Auf der Seite Anfragen, klicken Sie auf Weitere Zertifikatsoptionen und aktivieren Sie unter Signed HTTP Exchanges die Option CanSignHttpExchanges-Erweiterung hinzufügen.

Include the CanSignHttpExchanges extension in the certificate