Uw Signed HTTP Exchanges-certificaat ophalen
Een ECC TLS-certificaat verkrijgen met de CanSignHttpExchanges-extensie
Heeft u een TLS-certificaat nodig met de extensie CanSignHttpExchanges?
DigiCert is blij dat het een van de eerste CA's is die deze extensie in een ECC TLS-certificaat ondersteunt, aangezien we innovatieve technologieën en meer gebruik van webprotocollen willen stimuleren. Zie Betere AMP-URL's weergeven met Signed HTTP Exchange voor meer informatie.
Belangrijk
Dit ECC TLS-certificaat met de CanSignHttpExchanges-extensie kan alleen worden gebruikt voor de Signed HTTP Exchanges. U heeft dus twee certificaten nodig voor de server: één voor TLS-verbindingen en één voor ondertekening van de HTTP-exchanges. Chrome gebruikt dit TLS-certificaat met de CanSignHttpExchanges-extensie alleen voor de Signed Exchanges en weigert het voor TLS-verbindingen.
Om uw ECC TLS-certificaat met de CanSignHttpExchanges-extensie te krijgen zodat u deze verbetering van de AMP-URL kunt gaan testen, moet u de taken uitvoeren die in deze instructies worden vermeld:
Uw CertCentral-account ophalen
Als eerste moet u uw CertCentral-account activeren. Dit account is speciaal ingesteld voor het bestellen van een TLS-certificaat met de CanSignHttpExchanges-extensie.
Uw CertCentral-account ophalen
Heeft u al een DigiCert-account? Geen probleem, onze experts kunnen u helpen bij het beheren van uw account. Neem contact op met uw accountvertegenwoordiger of neem contact op met DigiCert Support.
De CAA-bronrecord van uw domein instellen
Als een certificeringsinstantie (CA) uw certificaat met de CanSignHttpExchanges-extensie wil kunnen uitgeven, moet u een eenmalige configuratie uitvoeren in de DNS-record van het domein en de parameter cansignhttpexchanges=yes aan de record toevoegen.
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
Voordat uw certificaat met de CanSignHttpExchanges-extensie wordt uitgegeven, controleert een CA (zoals DigiCert) de CAA-bronrecord van het domein op een geldige eigenschap met deze parameter. Als de record de parameter cansignhttpexchanges=yes bevat, kunnen wij het certificaat uitgeven. Als het domein geen CAA-bronrecord heeft, of als de record niet deze parameter bevat, kunnen we het certificaat niet uitgeven.
Een ECC CSR maken
Als onderdeel van de Signed HTTP Exchanges-technologiespecificaties is voor het TLS-certificaat dat wordt gebruikt om de exchange te ondertekenen een Elliptic Curve Cryptology (ECC)-sleutelpaar vereist.
Om een TLS-certificaat met de CanSignHttpExchanges-extensie te bestellen, moet u bij de order een ECC-nieuwe certificaatondertekeningsaanvraag (CSR) indienen.
Uw TLS-certificaat bestellen
Klik in het zijbalkmenu van uw CertCentral-account op Een certificaat aanvragen en kies een certificaat.
Als u niet zeker weet welk certificaat u nodig heeft, klikt u op Certificaat aanvragen > Productoverzicht. Bekijk op de pagina Certificaat aanvragen de certificaatopties. Kies vervolgens het gewenste certificaat.
Voeg de CanSignHttpExchanges-extensie toe
Zorg ervoor dat u bij het bestellen van uw TLS-certificaat de CanSignHttpExchanges-extensie in het certificaat opneemt.
Belangrijk
Overeenkomstig de industriestandaarden hebben certificaten die de Signed HTTP Exchange -extensie bevatten een maximale geldigheid van 90 dagen.
Vouw op de pagina Aanvragen de optie Extra certificaatopties uit. Schakel onder Signed HTTP Exchanges de optie CanSignHttpExchanges-extensie in het certificaat opnemen in.
Een "Signed HTTP Exchange"-certificaat ACME Directory URL maken
Wanneer u een ACME Directory URL maakt voor uw Signed HTTP Exchange-certificaat, zorg er dan voor dat u de CanSignHttpExchanges-extensie opneemt in het certificaat.
Zie voor meer informatie ACME Directory URL's voor ondertekende HTTP Exchange-certificaten