获取 Signed HTTP Exchange 证书
如果获取具有 CanSignHttpExchanges 扩展名的 ECC TLS 证书
您是否需要包括 CanSignHttpExchanges 扩展名的 TLS 证书?
DigiCert 很高兴成为第一批在 ECC TLS 证书中支持此扩展的 Ca,因为我们致力于鼓励创新技术和 web 协议的进步。有关更多信息,请参阅显示具有签名的 HTTP Exchange 的优化 AMP URL。
重要
具有 CanSignHttpExchanges 扩展名的 ECC TLS 证书只能用于签名的 HTTP Exchange。因此,您的服务器需要两个证书:一个用于 TLS 连接,另一个用于对 HTTP Exchange 签名。Chrome 仅为签名交换使用具有 CanSignHttpExchanges 扩展的 TLS 证书,并将对 TLS 连接予以拒绝。
如果需要您的 ECC TLS 包括 CanSignHttpExchanges 扩展,以便开始测试该 AMP URL 改进,您需要完成这些说明中列出的任务:
获取 CertCentral 帐户
首先,请激活您的 CertCentral 帐户。该帐户专门针对订购具有 CanSignHttpExchanges 扩展名的 TLS 证书进行设置。
已经拥有 DigiCert 帐户?不用担心,我们的专家可以帮助您管理帐户。请联系您的客户代表或 DigiCert 支持团队。
设置您的域的 CAA 资源记录
要使证书颁发机构 (CA) 向您颁发具有 CanSignHttpExchanges 扩展的证书,您必须在域的 DNS 记录中进行一次性设置,并且在记录中添加“cansignhttpexchanges=yes”参数。
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
在向您颁发具有 CanSignHttpExchanges 扩展名的证书之前,CA(例如 DigiCert)会在域的 CAA 资源记录中检查具有此参数的有效属性。如果记录中包含“cansignhttpexchanges=yes”,我们可以颁发证书。如果域没有 CAA 资源记录,或者记录中不包含该参数,我们不会颁发证书。
创建 ECC CSR
作为签名的 HTTP Exchange 技术规范的一部分,用于对交换签名的 TLS 证书要求具有 Elliptic Curve Cryptology (ECC) 密钥对。
要订购具有 CanSignHttpExchanges 扩展名的 TLS 证书,您必须通过该订单提交 ECC 证书签名请求 (CSR)。
Apache:创建 ECC CSR 并安装 ECC SSL 证书
Microsoft Servers:Microsoft Servers:创建 ECC CSR 并安装 ECC SSL 证书
订购 TLS 证书
在您的 CertCentral 帐户的侧栏菜单中,单击申请证书并选择一个证书。
如果您不确定需要哪个证书,可单击申请证书 > 产品摘要。在请求证书页面上查找证书选项。然后选择您需要的证书。
包括 CanSignHttpExchanges 扩展名
在订购 TLS 证书时,请务必在证书中包括 CanSignHttpExchanges 扩展。
重要
按照行业标准,包括签名的 HTTP Exchange 扩展名的证书的最长有效期为 90 天。
在证书的请求页上,展开更多订单选项。选中签名的 HTTP Exchanges 下的在证书中包括 CanSignHttpExchanges 扩展。
创建“Signed HTTP Exchange”证书 ACME 目录 URL
在为签名的 HTTP Exchange 证书创建 ACME 目录 URL 时,请务必在证书中包括 CanSignHttpExchanges 扩展。
有关更多信息,请参阅Signed HTTP Exchange 证书 ACME 目录 URL