Получите свой сертификат Signed HTTP Exchanges

Каким образом получить сертификат ECC TLS с расширением CanSignHttpExchanges

Вам нужен сертификат TLS, который включает в себя расширение CanSignHttpExchanges? Центр сертификации DigiCert рад быть одним из первых центров сертификации, которые поддерживают это расширение в сертификате ECC TLS, поскольку мы стремимся поощрять инновационные технологии и развитие веб-протоколов. Для ознакомления с более подробной информацией см. раздел Отобразить лучшие URL-адреса AMP с подписанным обменом HTTP.

Этот сертификат ECC TLS с расширением CanSignHttpExchanges можно использовать только для подписанных обменов HTTP. Итак, вам понадобятся два сертификата для сервера: один для соединений TLS и один для подписывания обменов HTTP. Chrome использует данный сертификат TLS только с расширением CanSignHttpExchanges для подписанных обменов и будет отклонять его для подключений TLS.

Для получения сертификата ECC TLS с включенным расширением CanSignHttpExchanges, чтобы можно было начать тестировать данное улучшение URL-адреса AMP, необходимо выполнить задачи, перечисленные в этих инструкциях.

Получить свою yчётная запись CertCentral

Сначала вам необходимо активировать свою yчётная запись CertCentral. Данная yчётная запись специально настроена для заказа сертификата TLS с расширением CanSignHttpExchanges.

Получить свою yчётная запись CertCentral

Уже есть yчётная запись DigiCert? Не волнуйтесь, наши специалисты помогут вам при управлении вашей yчётная запись. Обратитесь к представителю своей учётная запись или свяжитесь с нашей службой технической поддержки.

Настройте ресурсная запись АЦС своего домена

Чтобы центр сертификации (ЦС) мог выдать ваш сертификат с расширением CanSignHttpExchanges, вы должны выполнить однократную настройку в DNS-записи домена и добавить параметр "cansignhttpexchanges=yes" в запись.

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Прежде чем выдать сертификат с расширением CanSignHttpExchanges, центр сертификации (ЦС) (например, DigiCert) проверяет ресурсная запись АЦС домена на предмет допустимого свойства этого параметра. Если запись содержит "cansignhttpexchanges=yes",, мы можем выпустить сертификат. Если в домене нет ресурсной записи АЦС или запись не содержит этот параметр, мы не можем выпустить сертификат.

Создать ECC CSR

Как часть спецификаций технологии Signed HTTP Exchanges, для сертификата TLS, используемого для подписывания обмена, требуется пара ключей криптологии эллиптической кривой (ECC).

Чтобы заказать сертификат TLS с расширением CanSignHttpExchanges, необходимо отправить запрос на подписание сертификата ECC (CSR) вместе с заказом.

Заказ сертификата для подписывания кода (TLS)

В меню на боковой панели вашей учётная запись CertCentral нажмите Запрос на сертификат и выберите сертификат. Если вы не уверены, какой сертификат вам требуется, нажмите Запрос на сертификат > Обзор продукта. На странице Запрос на сертификат просмотрите варианты получения сертификата, затем выберите сертификат, который вы хотите заказать.

Включите расширение CanSignHttpExchanges

При заказе сертификата TLS обязательно включите расширение CanSignHttpExchanges CanSignHttpExchanges в сертификат.

В соответствии с отраслевыми стандартами сертификаты с расширением Signed HTTP Exchange имеют максимальный срок действия 90 дней.

На странице сертификата Запрос разверните опцию Дополнительные параметры сертификата и в разделе Подписанные обмены HTTP, установите флажок Включить расширение CanSignHttpExchanges в сертификат.

Include the CanSignHttpExchanges extension in the certificate

Создать"для сертификата Signed HTTP Exchange" URL-адрес каталога ACME

При создании URL-адреса каталога ACME для своего сертификата Signed HTTP Exchange обязательно включите расширение CanSignHttpExchanges в сертификат.

Для ознакомления с более подробной информацией см. раздел URL-адреса каталога ACME для сертификатов Signed HTTP Exchange.