Получить свой сертификат Signed HTTP Exchanges

How to get an ECC TLS certificate with the CanSignHttpExchanges extension

Вам нужен сертификат TLS, который включает в себя расширение CanSignHttpExchanges? Компания DigiCert рада быть одним из первых центров сертификации, которые поддерживают это расширение в сертификате ECC TLS, поскольку мы стремимся поощрять инновационные технологии и развитие веб-протоколов. Для ознакомления с более подробной информацией см. раздел Отобразить лучшие URL-адреса AMP с подписанным обменом HTTP.

Этот сертификат ECC TLS с расширением CanSignHttpExchanges можно использовать только для подписанных обменов HTTP. Итак, вам понадобятся два сертификата для сервера: один для соединений TLS и один для подписания обменов HTTP. Chrome использует данный сертификат TLS только с расширением CanSignHttpExchanges для подписанных обменов и будет отклонять его для подключений TLS.

Для получения сертификата ECC TLS с включенным расширением CanSignHttpExchanges, чтобы можно было начать тестировать данное улучшение URL-адреса AMP, необходимо выполнить задачи, перечисленные в этих инструкциях.

Получить свою учетную запись CertCentral

Сначала вам необходимо активировать свою учетную запись CertCentral. Данная учетная запись специально настроена для заказа сертификата TLS с расширением CanSignHttpExchanges.

Получить свою учетную запись CertCentral

Уже есть учетная запись DigiCert? Не волнуйтесь, наши специалисты помогут вам при управлении вашей учетной записью. Обратитесь к представителю своей учетной записи или свяжитесь с нашей службой технической поддержки.

Настройте запись ресурса CAA своего домена

Чтобы центр сертификации (CA) мог выдать ваш сертификат с расширением CanSignHttpExchanges, вы должны выполнить однократную настройку в DNS-записи домена и добавить параметр "cansignhttpexchanges=yes" в запись.

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Прежде чем выдать сертификат с расширением CanSignHttpExchanges, центр сертификации (CA) (например, DigiCert) проверяет запись ресурса CAA домена на предмет допустимого свойства этого параметра. Если запись содержит "cansignhttpexchanges=yes",, мы можем выпустить сертификат. Если в домене нет записи ресурса CAA или запись не содержит этот параметр, мы не можем выпустить сертификат.

Создать ECC CSR

Как часть спецификаций технологии Signed HTTP Exchanges, для сертификата TLS, используемого для подписания обмена, требуется пара ключей криптологии эллиптической кривой (ECC).

Чтобы заказать сертификат TLS с расширением CanSignHttpExchanges, необходимо отправить запрос на подписание сертификата ECC (CSR) вместе с заказом.

Закажите свой сертификат TLS

В меню на боковой панели вашей учетной записи CertCentral нажмите Запрос на сертификат и выберите сертификат. Если вы не уверены, какой сертификат вам требуется, нажмите Запрос на сертификат > Обзор продукта. На странице Запрос на сертификат просмотрите варианты получения сертификата, затем выберите сертификат, который вы хотите заказать.

Включите расширение CanSignHttpExchanges

При заказе сертификата TLS обязательно включите расширение CanSignHttpExchanges CanSignHttpExchanges в сертификат.

В соответствии с отраслевыми стандартами сертификаты с расширением Signed HTTP Exchange имеют максимальный срок действия 90 дней.

На странице сертификата Запрос разверните раздел Дополнительные параметры сертификата и в разделе Подписанные обмены HTTP, установите флажок Включить расширение CanSignHttpExchanges в сертификат.

Include the CanSignHttpExchanges extension in the certificate

Создать"для сертификата Signed HTTP Exchange" URL-адрес каталога ACME

При создании URL-адреса каталога ACME для своего сертификата Signed HTTP Exchange обязательно включите расширение CanSignHttpExchanges в сертификат.

Для ознакомления с более подробной информацией см. раздел URL-адреса каталога ACME для сертификатов Signed HTTP Exchange.