获取 Signed HTTP Exchange 证书

如果获取具有 CanSignHttpExchanges 扩展名的 ECC TLS 证书

您是否需要包括 CanSignHttpExchanges 扩展名的 TLS 证书?DigiCert 很荣幸成为在 ECC TLS 证书中支持此扩展名的第一批 CA 之一,因为我们不断追求创新技术和 Web 协议的发展。有关更多信息,请参阅显示具有签名的 HTTP Exchange 的优化 AMP URL

具有 CanSignHttpExchanges 扩展名的 ECC TLS 证书只能用于签名的 HTTP Exchange。因此,您的服务器需要两个证书:一个用于 TLS 连接,另一个用于对 HTTP Exchange 签名。Chrome 仅对签名的交换使用具有 CanSignHttpExchanges 扩展名的 TLS 证书,而会拒绝用于 TLS 连接。

要包括具有 CanSignHttpExchanges 扩展名的 ECC TLS 证书,从而开始测试此 AMP URL 改进,您需完成这些说明中所列的任务。

获取 CertCentral 帐户

首先,请激活您的 CertCentral 帐户。该帐户专门针对订购具有 CanSignHttpExchanges 扩展名的 TLS 证书进行设置。

获取 CertCentral 帐户

已经拥有 DigiCert 帐户?不用担心,我们的专家可以帮助您管理帐户。请联系您的客户代表或我们的支持团队

设置您的域的 CAA 资源记录

要使证书颁发机构 (CA) 向您颁发具有 CanSignHttpExchanges 扩展名的证书,您必须在域的 DNS 记录中进行一次性设置,并且在记录中添加 "cansignhttpexchanges=yes" 参数。

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

在向您颁发具有 CanSignHttpExchanges 扩展名的证书之前,CA(例如 DigiCert)会在域的 CAA 资源记录中检查具有此参数的有效属性。如果记录中包含 "cansignhttpexchanges=yes",我们可以颁发证书。如果域没有 CAA 资源记录或记录中不包含此参数,则我们无法颁发证书。

创建 ECC CSR

作为签名的 HTTP Exchange 技术规范的一部分,用于对交换签名的 TLS 证书要求具有 Elliptic Curve Cryptology (ECC) 密钥对。

要订购具有 CanSignHttpExchanges 扩展名的 TLS 证书,您必须通过该订单提交 ECC 证书签名请求 (CSR)。

订购 TLS 证书

在您的 CertCentral 帐户的侧栏菜单中,单击申请证书并选择一个证书。如果您不确定需要哪个证书,可单击申请证书 > 产品摘要。浏览申请证书页面上的证书选项并选择您需要的证书。

包括 CanSignHttpExchanges 扩展名

在订购 TLS 证书时,请务必在证书中包括 CanSignHttpExchanges 扩展名。

按照行业标准,包括签名的 HTTP Exchange 扩展名的证书的最长有效期为 90 天。

在证书的请求页面上,展开其他证书选项,并且在签名的 HTTP Exchange 下,选中在证书中包括 CanSignHttpExchanges 扩展名

Include the CanSignHttpExchanges extension in the certificate

创建"签名的 HTTP Exchange"证书 ACME 目录 URL

在为签名的 HTTP Exchange 证书创建 ACME 目录 URL 时,请务必在证书中包括 CanSignHttpExchanges 扩展名。

有关更多信息,请参阅签名的 HTTP Exchange 证书 ACME 目录 URL