PKI/CA X.509公钥证书

Posted 2021-06-08 thefist11

1. 定义

1.1. 公钥证书

既是对某个公钥加上一个签名，形式为：KeyPub + ca_Info + enc_ca_Hash+ addInfo

• KeyPub 欲签名的公钥
• ca_Info身份信息
  ca信息，比如网络主机名，组织的名称或个体名称等
• enc_ca_Hash签名信息
  可以是证书签发机构CA的签名，也可以是自签名
• addInfo其他信息
  比如有效性信息（证书的有效时间区间），以及 CRL 等相关信息。

1.2 X.509 证书

X.509是公钥证书 的格式标准, 广泛用于TLS/SSL安全通信或其他需要认证的环境。X.509证书可以由CA 颁发，也可以自签名产生。

2. 功能

• 证书及相应的私钥可用来创建安全的通信，对文档进行数字签名
• 附带证书吊销列表
• 用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法

3. 数据结构

• 版本
  即使用X.509的版本，目前普遍使用的是v3版本（0x2）。
• 序列号
  颁发者分配给证书的一个正整数，同一颁发者颁发的证书序列号各不相同，可用与颁发者名称一起作为证书唯一标识。
• 签名算法
  颁发者颁发证书使用的签名算法。
• 颁发者
  颁发该证书的设备名称，必须与颁发者证书中的主体名一致。通常为CA服务器的名称。
• 有效期
  包含有效的起、止日期，不在有效期范围的证书为无效证书。
• 主体名
  证书拥有者的名称，如果与颁发者相同则说明该证书是一个自签名证书。
• 公钥信息
  用户对外公开的公钥以及公钥算法信息。
• 扩展信息
  通常包含了证书的用法、CRL的发布地址等可选字段。
• 签名
  颁发者用私钥对证书信息的签名

eg.