Skip to main content

Obtenha seu certificado Signed HTTP Exchanges

Como obter um certificado ECC TLS com a extensão CanSignHttpExchanges

Você precisa de um certificado TLS que inclua a extensão CanSignHttpExchanges?

A DigiCert está feliz em estar entre as primeiras CAs a suportarem esta extensão em um certificado ECC TLS enquanto buscamos incentivar tecnologias inovadoras e o avanço de protocolos web. Para obter mais informações, consulte Exibir URLs de AMP melhores com o Signed HTTP Exchange.

Importante

Este certificado ECC TLS com a extensão CanSignHttpExchanges só pode ser usado para Signed HTTP Exchanges. Então, você precisará de dois certificados para o servidor: um para conexões TLS e um para assinar as trocas HTTP. O Chrome usa apenas este certificado TLS com a extensão CanSignHttpExchanges para as trocas assinadas e rejeitará se for para conexões TLS.

Para obter seu certificado ECC TLS com a extensão CanSignHttpExchanges incluída para que você possa começar a testar esta melhoria da AMP URL, é necessário completar as tarefas listadas nestas instruções.

Obtenha sua conta CertCentral

Primeiro, será necessário ativar a sua conta da CertCentral. Esta conta é especificamente configurada para pedir um certificado TLS com a extensão CanSignHttpExchanges.

Obtenha sua conta CertCentral

Já tem uma conta da DigiCert? Não se preocupe, nossos especialistas podem ajudá-lo a gerenciar sua conta. Entre em contato com o representante da sua conta ou entre em contato com o Suporte da DigiCert.

Configurar o registro de recurso CAA do seu domínio

Para que uma Autoridade de Certificação (CA) emita seu certificado com a extensão CanSignHttpExchanges, você deve fazer uma configuração única no registro DNS do domínio e adicionar o parâmetro "cansignhttpexchanges=yes" ao registro.

example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Antes de emitir o seu certificado com a extensão CanSignHttpExchanges, uma CA (como a DigiCert) verifica o registro de recurso CAA do domínio para uma propriedade válida com este parâmetro. Se o registro contiver "cansignhttpexchanges=yes", podemos emitir o certificado. Se o domínio não tiver um registro de recurso CAA ou se o registro não possuir este parâmetro, não poderemos emitir o certificado.

Criar um ECC CSR

Como parte das especificações da tecnologia Signed HTTP Exchanges, o certificado TLS usado para assinar a troca exibe um par de chave Elliptic Curve Cryptology (ECC).

Para pedir um certificado TLS com a extensão CanSignHttpExchanges, você deve enviar uma solicitação de assinatura do certificado ECC (CSR) com o pedido.

Pedir seu certificado TLS

Na sua conta CertCentral, no menu da barra lateral, clique em Solicitar um certificado e escolha um certificado.

Se você não tiver certeza de qual certificado deseja, clique em Solicitar um certificado > Resumo do produto. Na página Solicitar um certificado, examine as opções de certificado. Em seguida, escolha o certificado desejado.

Inclua a extensão CanSignHttpExchanges

Ao solicitar seu certificado TLS, certifique-se de incluir a extensão CanSignHttpExchanges no certificado.

Importante

De acordo com as normas da indústria, certificados que incluem a extensão Signed HTTP Exchange têm um limite de validade máxima de 90 dias.

Na página Solicitação do certificado, expanda Opções de certificado adicionais. Em Signed HTTP Exchanges, marque Incluir a extensão CanSignHttpExchanges no certificado.

include-cansignhttpexchanges-extension-3_width-800.png

Criar um URL do diretório ACME do certificado "Signed HTTP Exchange"

Ao criar uma URL do diretório ACME para seu certificado Signed HTTP Exchange, certifique-se de incluir a extensão CanSignHttpExchanges no certificado.

Para mais informações, veja Para mais informações, consulte URLs do diretório ACME para certificados Signed HTTP ExchangePara mais informações, consulte URLs do diretório ACME para certificados Signed HTTP Exchange