SXG (Signed HTTP Exchanges)証明書を取得する

CanSignHttpExchanges 機能拡張の入ったECC SSL/TLS証明書の入手方法

CanSignHttpExchanges機能拡張が入ったSSL/TLS証明書が必要ですか?なら、是非デジサートまでどうぞ。イノベーションとウェブプロトコルの発展を推進するデジサートは、ECC TLS証明書でこの機能拡張を最初にサポートした認証局のひとつです。 詳細は、 AMPのURL表示をわかりやすくするSXG(Signed HTTP Exchange)を参照してください。

CanSignHttpExchanges機能拡張が入ったこのECC TLS証明書は、SXGのためでのみ使用できます。従って、サーバには2種類の証明書が必要になります。SSL/TLS接続用と、Signed HTTP exchanges署名用です。 Chromeでは、CanSignHttpExchanges拡張が入ったSSL/TLS証明書は、signed HTTP exchangesでのみ使用され、SSL/TLS接続では拒否されてしまうためです。

CanSignHttpExchanges拡張が入ったECC SSL/TLS証明書を取得して、AMPのURL表示が実際どれほど改善されるのかテストをしてみませんか。そのためには、以下のタスクを完了させる必要があります。

CertCentralアカウントに申し込む

まず、お客様のCertCentralアカウントをアクティベートする必要があります。このアカウントは、CanSignHttpExchanges機能拡張が入ったSSL/TLS証明書を注文するために特別に用意されたアカウントです。

弊社エキスパートが、お客様のアカウントの管理をお手伝いいたします。お客様のアカウント担当者、またはWebフォームでお問い合わせください。

お客様のドメインのCAAレコードを設定する

認証局がCanSignHttpExchanges拡張入りの証明書を発行するためには、お客様のドメインのDNSレコードを一度だけ編集し、cansignhttpexchanges=yesのパラメータを追加しておく必要があります。

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

デジサートなどの認証局は、CanSignHttpExchanges拡張が入った証明書を発行する前に、このパラメータを使ってドメインのCAAリソースレコードの確認を行います。レコードに cansignhttpexchanges=yes が見つかれば、証明書は発行されます。 もしドメインにCAAリソースレコードがない場合、またはレコードにこのパラメータがない場合は、証明書は発行できません。

ECC CSRを作成する

Signed HTTP Exchangesの規格として、exchangeの署名に使われるSSL/TLS証明書にはECC鍵ペアが必要とされます。

CanSignHttpExchanges機能拡張が入ったSSL/TLS証明書の注文には、ECCのCSR(証明書署名要求)の提出が必要になります。

SSL/TLS証明書を注文する

まずCertCentralのアカウントに入り、サイドバーのメニューで「証明書の申請」をクリックし、希望する証明書を選択します。どの証明書が必要かよくわからない場合は、証明書の申請> 製品概要をクリックします。 証明書の申請ページで、証明書の各種オプションを確認し、そして該当する証明書を選択します。

CanSignHttpExchanges拡張機能を含めるのを忘れずに

SL/TLS証明書を注文する際、CanSignHttpExchanges拡張機能が入っていることを確認しましょう。

業界基準に基づき、HTTP Signed Exchange拡張機能が入っている証明書の有効期間は、最大90日となっています。

証明書の申請ページで、追加証明書オプションを展開し、Signed HTTP Exchanges (SXG)のところで、CanSignHttpExchanges拡張機能を含めるにチェックマークを入れます。

Include the CanSignHttpExchanges extension in the certificate