Obtenha seu certificado Signed HTTP Exchanges
Como obter um certificado ECC TLS com a extensão CanSignHttpExchanges
Você precisa de um certificado TLS que inclua a extensão CanSignHttpExchanges?
A DigiCert está feliz em estar entre as primeiras CAs a suportarem esta extensão em um certificado ECC TLS enquanto buscamos incentivar tecnologias inovadoras e o avanço de protocolos web. Para obter mais informações, consulte Exibir URLs de AMP melhores com o Signed HTTP Exchange.
Importante
Este certificado ECC TLS com a extensão CanSignHttpExchanges só pode ser usado para Signed HTTP Exchanges. Então, você precisará de dois certificados para o servidor: um para conexões TLS e um para assinar as trocas HTTP. O Chrome usa apenas este certificado TLS com a extensão CanSignHttpExchanges para as trocas assinadas e rejeitará se for para conexões TLS.
Para obter seu certificado ECC TLS com a extensão CanSignHttpExchanges incluída para que você possa começar a testar esta melhoria da AMP URL, é necessário completar as tarefas listadas nestas instruções.
Obtenha sua conta CertCentral
Primeiro, será necessário ativar a sua conta da CertCentral. Esta conta é especificamente configurada para pedir um certificado TLS com a extensão CanSignHttpExchanges.
Já tem uma conta da DigiCert? Não se preocupe, nossos especialistas podem ajudá-lo a gerenciar sua conta. Entre em contato com o representante da sua conta ou entre em contato com o Suporte da DigiCert.
Configurar o registro de recurso CAA do seu domínio
Para que uma Autoridade de Certificação (CA) emita seu certificado com a extensão CanSignHttpExchanges, você deve fazer uma configuração única no registro DNS do domínio e adicionar o parâmetro "cansignhttpexchanges=yes" ao registro.
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
Antes de emitir o seu certificado com a extensão CanSignHttpExchanges, uma CA (como a DigiCert) verifica o registro de recurso CAA do domínio para uma propriedade válida com este parâmetro. Se o registro contiver "cansignhttpexchanges=yes", podemos emitir o certificado. Se o domínio não tiver um registro de recurso CAA ou se o registro não possuir este parâmetro, não poderemos emitir o certificado.
Criar um ECC CSR
Como parte das especificações da tecnologia Signed HTTP Exchanges, o certificado TLS usado para assinar a troca exibe um par de chave Elliptic Curve Cryptology (ECC).
Para pedir um certificado TLS com a extensão CanSignHttpExchanges, você deve enviar uma solicitação de assinatura do certificado ECC (CSR) com o pedido.
Microsoft Servers: Microsoft Servers: Crie ECC CSR e instale o certificado SSL ECC
Pedir seu certificado TLS
Na sua conta CertCentral, no menu da barra lateral, clique em Solicitar um certificado e escolha um certificado.
Se você não tiver certeza de qual certificado deseja, clique em Solicitar um certificado > Resumo do produto. Na página Solicitar um certificado, examine as opções de certificado. Em seguida, escolha o certificado desejado.
Inclua a extensão CanSignHttpExchanges
Ao solicitar seu certificado TLS, certifique-se de incluir a extensão CanSignHttpExchanges no certificado.
Importante
De acordo com as normas da indústria, certificados que incluem a extensão Signed HTTP Exchange têm um limite de validade máxima de 90 dias.
Na página Solicitação do certificado, expanda Opções de certificado adicionais. Em Signed HTTP Exchanges, marque Incluir a extensão CanSignHttpExchanges no certificado.
Criar um URL do diretório ACME do certificado "Signed HTTP Exchange"
Ao criar uma URL do diretório ACME para seu certificado Signed HTTP Exchange, certifique-se de incluir a extensão CanSignHttpExchanges no certificado.
Para mais informações, veja Para mais informações, consulte URLs do diretório ACME para certificados Signed HTTP Exchange