取得您的 Signed HTTP Exchanges 憑證
如何以 CanSignHttpExchanges 延伸程式取得 ECC TLS 憑證
您是否需要可加入 CanSignHttpExchanges 延伸程式的 TLS 憑證?
DigiCert 很樂意成為第一個在 ECC TLS 憑證中支援此延伸程式 CA,因為我們尋求促進創新技術和 Web 通訊協定的進步。如需更多資訊,請參閱顯示有 Signed HTTP Exchange 的更好的 AMP URL。
Important
有 CanSignHttpExchanges 延伸程式的 ECC TLS 憑證可用於 Signed HTTP Exchange (簽章的 HTTP 交換)。因此,您將需要用於伺服器的兩份憑證:一份用於 TLS 連線,一份用於簽署 HTTP 交換。Chrome 僅使用有 CanSignHttpExchanges 延伸程式的此 TLS 憑證進行簽章交換,而且將會拒絕 TLS 連線。
若要取得有加入的 CanSignHttpExchanges 延伸程式的 ECC TLS 憑證,開始測試此 AMP URL 改進,您需要完成這些指示中所列的任務:
取得您的 CertCentral 帳戶
首先,您需要啟用您的 CertCentral 帳戶。此帳戶專門設定用於訂購有 CanSignHttpExchanges 延伸程式的 TLS 憑證。
已經有 DigiCert 帳戶嗎?不要擔心,我們的專家可以協助您管理您的帳戶。請聯絡您的客服代表,或聯絡 DigiCert 支援團隊。
設定您的網域的 CAA 資源記錄
對於發行有 CanSignHttpExchanges 延伸程式的憑證的憑證授權單位 (CA),您必須在網域的 DNS 記錄中執行一次性的設定,並且新增 "cansignhttpexchanges=yes”參數到記錄中。
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
在發行您的有 CanSignHttpExchanges 延伸程式的憑證前,CA (例如 DigiCert) 會檢查網域的 CAA 資源記錄是否有有此參數的有效屬性。如果記錄包括 "cansignhttpexchanges=是”,我們可以發行憑證。如果網域沒有 CAA 資源記錄,或如果記錄不包含此參數,我們無法發行憑證。
建立 ECC CSR
作為 Signed HTTP Exchanges 技術規格的一部份,用於簽章交換的 TLS 憑證需要 Elliptic Curve Cryptology (橢圓曲線加密,ECC) 金鑰組合。
若要訂購有 CanSignHttpExchanges 延伸程式的 TLS 憑證,您必須連同訂單提交 ECC 憑證簽署要求 (CSR)。
Apache:建立 ECC CSR 和安裝 ECC SSL 憑證
Microsoft Servers:Microsoft Servers:建立 ECC CSR 和安裝 ECC SSL 憑證
訂購您的 TLS 憑證
在您的 CertCentral 帳戶的資訊看板功能表中,按一下要求憑證,然後選擇憑證。
如果您不確定要哪一個憑證,請按一下要求憑證 > 產品摘要。在要求憑證頁面上,瀏覽憑證選項。然後選擇您想要的憑證。
加入 CanSignHttpExchanges 延伸程式
訂購 TLS 憑證時,請確定在憑證中加入 CanSignHttpExchanges 延伸程式。
Important
依業界標準,加入 Signed HTTP Exchange 延伸程式的憑證有 90 天的最長有效期間限制。
在憑證的要求頁面上,展開其他憑證選項。在 Signed HTTP Exchanges 下,勾選在憑證中加入 CanSignHttpExchanges 延伸程式。
建立 "Signed HTTP Exchange” 憑證 ACME Directory URL
為您的 Signed HTTP Exchange 憑證建立 ACME Directory URL 時,請確定在憑證中加入 CanSignHttpExchanges 延伸程式。