1. 定義

1.1. 公鑰證書

既是對某個公鑰加上一個簽名，形式為：KeyPub + ca_Info + enc_ca_Hash+ addInfo

• KeyPub 欲簽名的公鑰
• ca_Info身份信息
  ca信息，比如網絡主機名，組織的名稱或個體名稱等
• enc_ca_Hash簽名信息
  可以是證書簽發(fā)機構CA的簽名，也可以是自簽名
• addInfo其他信息
  比如有效性信息（證書的有效時間區(qū)間），以及 CRL 等相關信息。

1.2 X.509 證書

X.509是公鑰證書 的格式標準, 廣泛用于TLS/SSL安全通信或其他需要認證的環(huán)境。X.509證書可以由CA 頒發(fā)，也可以自簽名產生。

2. 功能

• 證書及相應的私鑰可用來創(chuàng)建安全的通信，對文檔進行數字簽名
• 附帶證書吊銷列表
• 用于從最終對證書進行簽名的證書簽發(fā)機構直到最終可信點為止的證書合法性驗證算法

3. 數據結構

• 版本
  即使用X.509的版本，目前普遍使用的是v3版本（0x2）。
• 序列號
  頒發(fā)者分配給證書的一個正整數，同一頒發(fā)者頒發(fā)的證書序列號各不相同，可用與頒發(fā)者名稱一起作為證書唯一標識。
• 簽名算法
  頒發(fā)者頒發(fā)證書使用的簽名算法。
• 頒發(fā)者
  頒發(fā)該證書的設備名稱，必須與頒發(fā)者證書中的主體名一致。通常為CA服務器的名稱。
• 有效期
  包含有效的起、止日期，不在有效期范圍的證書為無效證書。
• 主體名
  證書擁有者的名稱，如果與頒發(fā)者相同則說明該證書是一個自簽名證書。
• 公鑰信息
  用戶對外公開的公鑰以及公鑰算法信息。
• 擴展信息
  通常包含了證書的用法、CRL的發(fā)布地址等可選字段。
• 簽名
  頒發(fā)者用私鑰對證書信息的簽名

eg.

總結

以上是生活随笔為你收集整理的PKI/CA （5）X.509公钥证书的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。