Obter seu certificado Signed HTTP Exchanges

How to get an ECC TLS certificate with the CanSignHttpExchanges extension

Você precisa de um certificado TLS que inclua a extensão CanSignHttpExchanges? A DigiCert está feliz em estar entre as primeiras CAs a suportarem esta extensão em um certificado ECC TLS enquanto buscamos incentivar tecnologias inovadoras e o avanço de protocolos web. Para mais informações, consulte Exibir melhores AMP URLs com Signed HTTP ExchangeDisplay.

Este certificado ECC TLS com a extensão CanSignHttpExchanges só pode ser usado para Signed HTTP Exchanges. Então, você precisará de dois certificados para o servidor: um para conexões TLS e um para assinar as trocas HTTP. O Chrome usa apenas este certificado TLS com a extensão CanSignHttpExchanges para as trocas assinadas e rejeitará se for para conexões TLS.

Para obter seu certificado ECC TLS com a extensão CanSignHttpExchanges incluída para que você possa começar a testar esta melhoria da AMP URL, é necessário completar as tarefas listadas nestas instruções.

Obter sua conta da CertCentral

Primeiro, será necessário ativar a sua conta da CertCentral. Esta conta é especificamente configurada para pedir um certificado TLS com a extensão CanSignHttpExchanges.

Obter sua conta da CertCentral

Já tem uma conta da DigiCert? Não se preocupe, nossos especialistas podem ajudá-lo a gerenciar sua conta. Fale com o seu representante de contas ou contate a nossa equipe de Atendimento.

Configurar o registro de recurso CAA do seu domínio

Para que uma Autoridade de Certificação (CA) emita seu certificado com a extensão CanSignHttpExchanges, é necessário fazer uma configuração única no registro DNS do domínio e adicionar o parâmetro "cansignhttpexchanges=yes" ao registro.

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Antes de emitir o seu certificado com a extensão CanSignHttpExchanges, uma CA (como a DigiCert) verifica o registro de recurso CAA do domínio para uma propriedade válida com este parâmetro. Se o registro contiver o "cansignhttpexchanges=yes", podemos emitir o certificado. Se o domínio não tiver um registro de recurso CAA ou se o registro não possuir este parâmetro, não poderemos emitir o certificado.

Criar um ECC CSR

Como parte das especificações da tecnologia Signed HTTP Exchanges, o certificado TLS usado para assinar a troca exibe um par de chave Elliptic Curve Cryptology (ECC).

Para pedir um certificado TLS com a extensão CanSignHttpExchanges, você deve enviar uma solicitação de assinatura do certificado ECC (CSR) com o pedido.

Pedir seu certificado TLS

Na sua conta da CertCentral, no menu da barra lateral, clique em Solicitar um certificado e escolha um certificado. Se não tiver certeza sobre que certificado você deseja, clique em Solicitar um certificado > Resumo do produto. Na página Solicitar um certificado, observe as opções de certificados e selecione o certificado que você deseja.

Inclua a extensão CanSignHttpExchanges

Ao pedir o seu certificado TLS, certifique-se de incluir a extensão CanSignHttpExchanges no certificado.

De acordo com as normas da indústria, certificados que incluem a extensão Signed HTTP Exchange têm um limite de validade máxima de 90 dias.

Na página Solicitar, amplie Opções adicionais de certificados e sob Signed HTTP Exchanges, selecione Incluir a extensão CanSignHttpExchanges no certificado.

Include the CanSignHttpExchanges extension in the certificate

Criar uma"URL do diretório ACME do certificado" Signed HTTP Exchange

Ao criar uma URL do diretório ACME para o seu certificado Signed HTTP Exchange, certifique-se de incluir a extensão CanSignHttpExchanges no certificado.

Para mais informações, consulte URLs do diretório ACME para certificados Signed HTTP Exchange.