对于证书，如何启用对Google "CanSignHttpExchanges“扩展的支持？

Question

我想在我的网站内实现已签署的Exchange。我知道，在生产中，签名的交换需要一个具有CanSignHttpExchanges扩展的证书。我的网站是托管在AWS上，我已经从SSL商店购买了我的域名的SSL证书。现在我想从Google购买证书，这样我就可以得到CanSignHttpExchanges扩展的支持了。

现在，我的问题是：

1. 如果我从Gooogle购买证书，那么默认情况下支持"CanSignHttpExchanges“扩展吗？如果没有，我怎样才能得到支持？
2. 如何将证书添加到我的网站中？
3. 是否有定期自动更新证书的方法？

Answer 1

1. Google不出售SSL证书。只有Digicert出售(提供)带有CanSignHttpExchanges的证书。
2. 请参阅Digicert文档，因为购买、证书签名请求和安装需要知道web服务器类型和DNS提供程序以确定步骤。您必须使用ECC TLS证书。

获取已签名的HTTP交换证书

1. 您必须每隔90天或更早更换一次证书。付款可以自动恢复。Digicert支持ACME协议，该协议要求为签名的HTTP交换证书创建ACME目录URL。如果您的帐户已经支付了证书，ACME客户端可以下载和安装新的证书。

用于已签名HTTP Exchange证书的ACME Directory URL

只有DV和EV证书包含CanSignHttpExchanges特性。这需要验证您的域和公司身份。OV比较容易，EV的验证也比较严格。您将需要您的身份，电话和地址细节，以及公司信息文件，以保持良好的秩序和核实。