Получить свои сертификаты Signed HTTP Exchanges
Каким образом получить сертификат ECC TLS с расширением CanSignHttpExchangesВам нужен сертификат TLS, который включает в себя расширение CanSignHttpExchanges? Центр сертификации DigiCert рад быть одним из первых центров сертификации, которые поддерживают это расширение в сертификате ECC TLS, поскольку мы стремимся поощрять инновационные технологии и развитие веб-протоколов. Для ознакомления с более подробной информацией см. раздел Отобразить лучшие URL-адреса AMP с подписанным обменом HTTP.
Этот сертификат ECC TLS с расширением CanSignHttpExchanges можно использовать только для подписанных обменов HTTP. Итак, вам понадобятся два сертификата для сервера: один для соединений TLS и один для подписывания обменов HTTP. Chrome использует данный сертификат TLS только с расширением CanSignHttpExchanges для подписанных обменов и будет отклонять его для подключений TLS.
Для получения сертификата ECC TLS с включенным расширением CanSignHttpExchanges, чтобы можно было начать тестировать данное улучшение URL-адреса AMP, необходимо выполнить задачи, перечисленные в этих инструкциях.
Сначала вам необходимо активировать свою учетную запись CertCentral. Данная учетная запись специально настроена для заказа сертификата TLS с расширением CanSignHttpExchanges.
Получить свою учетную запись CertCentral
Уже есть учетная запись DigiCert? Не волнуйтесь, наши специалисты помогут вам при управлении вашей учетной записью. Обратитесь к представителю своей учетной записи или свяжитесь с нашей службой технической поддержки.
Чтобы центр сертификации (ЦС) мог выдать ваш сертификат с расширением CanSignHttpExchanges, вы должны выполнить однократную настройку в DNS-записи домена и добавить параметр "cansignhttpexchanges=yes" в запись.
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"Прежде чем выдать сертификат с расширением CanSignHttpExchanges, центр сертификации (ЦС) (например, DigiCert) проверяет ресурсная запись АЦС домена на предмет допустимого свойства этого параметра. Если запись содержит "cansignhttpexchanges=yes", мы можем выпустить сертификат. Если в домене нет ресурсной записи АЦС или запись не содержит этот параметр, мы не можем выпустить сертификат.
Как часть спецификаций технологии Signed HTTP Exchanges, для сертификата TLS, используемого для подписывания обмена, требуется пара ключей криптологии эллиптической кривой (ECC).
Чтобы заказать сертификат TLS с расширением CanSignHttpExchanges, необходимо отправить запрос на подписание сертификата ECC (CSR) вместе с заказом.
В меню на боковой панели вашей учетной записи CertCentral нажмите Запрос на сертификат и выберите сертификат. Если вы не уверены, какой сертификат вам требуется, нажмите Запрос на сертификат > Обзор продукта. На странице Запрос на сертификат просмотрите варианты получения сертификата, затем выберите сертификат, который вы хотите заказать.
При заказе сертификата TLS обязательно включите расширение CanSignHttpExchanges CanSignHttpExchanges в сертификат.
В соответствии с отраслевыми стандартами сертификаты с расширением Signed HTTP Exchange имеют максимальный срок действия 90 дней.
На странице сертификата Запрос разверните раздел Дополнительные параметры сертификата и в разделе Подписанные обмены HTTP, установите флажок Включить расширение CanSignHttpExchanges в сертификат.
При создании URL-адреса каталога ACME для своего сертификата Signed HTTP Exchange обязательно включите расширение CanSignHttpExchanges в сертификат.
Для ознакомления с более подробной информацией см. раздел URL-адреса каталога ACME для сертификатов Signed HTTP Exchange.