取得您的 Signed HTTP Exchanges 憑證

如何以 CanSignHttpExchanges 延伸取得 ECC TLS 憑證

您是否需要可加入 CanSignHttpExchanges 延伸程式的 TLS 憑證?DigiCert 很樂意成為第一個 CA,以支援 ECC TLS 憑證中的延伸程式,因為我們尋求促進創新技術和 Web 通訊協定的進步。如需更多資訊,請參閱顯示有 Signed HTTP Exchange 的更好的 AMP URL

有 CanSignHttpExchanges 延伸程式的 ECC TLS 憑證可用於 Signed HTTP Exchange (簽章的 HTTP 交換)。。因此,您將需要用於伺服器的兩份憑證:一份用於 TLS 連線,一份用於簽署 HTTP 交換。Chrome 僅使用有 CanSignHttpExchanges 延伸程式的此 TLS 憑證進行簽章交換,而且將會拒絕 TLS 連線。

若要取得有加入的 CanSignHttpExchanges 延伸程式的 ECC TLS 憑證,開始測試此 AMP URL 改進,您需要完成這些指示中所列的任務。

取得您的 CertCentral 帳戶

首先,您需要啟用您的 CertCentral 帳戶。此帳戶專門設定用於訂購有 CanSignHttpExchanges 延伸程式的 TLS 憑證。

取得您的 CertCentral 帳戶

已經有 DigiCert 帳戶嗎?不要擔心,我們的專家可以協助您管理您的帳戶。請聯絡您的客服代表,或聯絡我們的支援團隊

設定您的網域的 CAA 資源記錄

對於發行有 CanSignHttpExchanges 延伸程式的憑證的憑證授權單位 (Ca),您必須在網域的 DNS 記錄中執行一次性的設定,並且新增 "cansignhttpexchanges=yes" 參數到記錄中。

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

在發行您的有 CanSignHttpExchanges 延伸程式的憑證前,CA (例如 DigiCert) 會檢查網域的 CAA 資源記錄是否有有此參數的有效屬性。如果記錄包含 "cansignhttpexchanges=yes",,我們可以發行憑證。如果網域沒有 CAA 資源記錄,或如果記錄不包含此參數,我們無法發行憑證。

建立 ECC CSR

作為 Signed HTTP Exchanges 技術規格的一部份,用於簽章交換的 TLS 憑證需要 Elliptic Curve Cryptology (橢圓曲線加密,ECC) 金鑰組合。

若要訂購有 CanSignHttpExchanges 延伸程式的 TLS 憑證,您必須連同訂單提交 ECC 憑證簽章要求 (CSR)。

訂購您的 TLS 憑證

在您的 CertCentral 帳戶的資訊看板功能表中,按一下要求憑證,然後選擇憑證。如果您不確定要哪一個憑證,請按一下要求憑證 > 產品摘要。在要求憑證頁面上,瀏覽憑證選項,然後選擇您要的憑證。

加入 CanSignHttpExchanges 延伸程式

訂購 TLS 憑證時,請確定在憑證中加入 CanSignHttpExchanges 延伸程弋。

依業界標準,加入 Signed HTTP Exchange 延伸程式的憑證有 90 天的最長有效期間限制。

在憑證的要求頁上,展開其他憑證選項,在 Signed HTTP Exchanges 下,,勾選在憑證內加入 CanSignHttpExchanges 延伸程式

Include the CanSignHttpExchanges extension in the certificate

建立"Signed HTTP Exchange"憑證 ACME Directory URL

為您的 Signed HTTP Exchange 憑證建立 ACME Directory URL 時,請確定在憑證中加入 CanSignHttpExchanges 延伸程式。

如需更多資訊,請參閱 適用於 Signed HTTP Exchange 憑證的 ACME Directory URL