您是否需要可加入 CanSignHttpExchanges 延伸程式的 TLS 憑證?
DigiCert 很樂意成為第一個在 ECC TLS 憑證中支援此延伸程式 CA,因為我們尋求促進創新技術和 Web 通訊協定的進步。如需更多資訊,請參閱顯示有 Signed HTTP Exchange 的更好的 AMP URL。
Important
有 CanSignHttpExchanges 延伸程式的 ECC TLS 憑證可用於 Signed HTTP Exchange (簽章的 HTTP 交換)。因此,您將需要用於伺服器的兩份憑證:一份用於 TLS 連線,一份用於簽署 HTTP 交換。Chrome 僅使用有 CanSignHttpExchanges 延伸程式的此 TLS 憑證進行簽章交換,而且將會拒絕 TLS 連線。
若要取得有加入的 CanSignHttpExchanges 延伸程式的 ECC TLS 憑證,開始測試此 AMP URL 改進,您需要完成這些指示中所列的任務:
首先,您需要啟用您的 CertCentral 帳戶。此帳戶專門設定用於訂購有 CanSignHttpExchanges 延伸程式的 TLS 憑證。
已經有 DigiCert 帳戶嗎?不要擔心,我們的專家可以協助您管理您的帳戶。請聯絡您的客服代表,或聯絡 DigiCert 支援團隊。
對於發行有 CanSignHttpExchanges 延伸程式的憑證的憑證授權單位 (CA),您必須在網域的 DNS 記錄中執行一次性的設定,並且新增 "cansignhttpexchanges=yes”參數到記錄中。
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
在發行您的有 CanSignHttpExchanges 延伸程式的憑證前,CA (例如 DigiCert) 會檢查網域的 CAA 資源記錄是否有有此參數的有效屬性。如果記錄包括 "cansignhttpexchanges=是”,我們可以發行憑證。如果網域沒有 CAA 資源記錄,或如果記錄不包含此參數,我們無法發行憑證。
作為 Signed HTTP Exchanges 技術規格的一部份,用於簽章交換的 TLS 憑證需要 Elliptic Curve Cryptology (橢圓曲線加密,ECC) 金鑰組合。
若要訂購有 CanSignHttpExchanges 延伸程式的 TLS 憑證,您必須連同訂單提交 ECC 憑證簽署要求 (CSR)。
Apache:建立 ECC CSR 和安裝 ECC SSL 憑證
Microsoft Servers:Microsoft Servers:建立 ECC CSR 和安裝 ECC SSL 憑證
在您的 CertCentral 帳戶的資訊看板功能表中,按一下要求憑證,然後選擇憑證。
如果您不確定要哪一個憑證,請按一下要求憑證 > 產品摘要。在要求憑證頁面上,瀏覽憑證選項。然後選擇您想要的憑證。
訂購 TLS 憑證時,請確定在憑證中加入 CanSignHttpExchanges 延伸程式。
Important
依業界標準,加入 Signed HTTP Exchange 延伸程式的憑證有 90 天的最長有效期間限制。
在憑證的要求頁面上,展開其他憑證選項。在 Signed HTTP Exchanges 下,勾選在憑證中加入 CanSignHttpExchanges 延伸程式。
為您的 Signed HTTP Exchange 憑證建立 ACME Directory URL 時,請確定在憑證中加入 CanSignHttpExchanges 延伸程式。