X.509是由国际电联电信委员会(ITU-T)为单点登录(SSO-Single Sign-on)和授权管理基础设施(PMI-Privilege Management Infrastructure)制定的
数字证书的格式标准。X.509定义了(但不仅限于)公钥证书、证书吊销清单、属性证书和证书路径验证算法等证书标准。
数字证书:
在X.509系统中,CA签发的证书依照X.500的管理,绑定了一个
唯一甄别名(DN-Distinguished Name),可以包含多个字段和值,还可以支持
别名(Alternative Name)。
X.509包含了一个证书吊销列表(CRL-Certificate Revocation List)实施的标准,这在PKI系统中经常被人所忽略。IETF提出的检查证书有效性的方法是在线证书状态(OCSP- Online Certificate Status Protocol)。Firefo3 缺省就是使用OCSP协议。
X.509 v3证书数据结构如下:(Firefox->Tools->Options->Advanced->View Certificates可以看到相关证书)
- Certificate证书
- Version 版本 - Version 3
- Serial Number 序列号 - 01
- Certificate Signature Algorithm 证书签名算法 - PKCS #1 SHA-1 With RSA Encryption
- Issuer 颁发者 - 采用X.500格式
- Validity 有效期
- Not Before 有效起始日期 - 5/13/2005 18:27:17 PM
- Not After 有效终止日期 - 3/22/2015 18:27:17 PM
- Subject 使用者 - 采用X.500格式
- Subject Public Key Info 使用者公钥信息
- Public Key Algorithm 公钥算法 - PKCS #1 RSA Encryption
- Subject Public Key 公钥
- Issuer Unique Identifier (Optional) 颁发者唯一标识
- Subject Unique Identifier (Optional) 使用者唯一标识
- Extensions (Optional) 扩展
- ...
- Certificate Signature Algorithm 证书签名算法 - PKCS #1 SHA-1 With RSA Encryption
- Certificate Signature Value 证书数字签名值
数字签名: H--Hash计算 E--加密计算 D--解密计算
在签发者处,首先求出传递消息Info的HASH值,然后用私钥Private Key对Hash值做加密,然后将传递消息原文Info和经过加密的HASH值一起发给接受者,接受者首先用签发者的公钥解开密码得到传递过来的Hash值,然后对收到的Info原文计算HASH值,然后比对是否相同,如果相同,则认证成功。
CA(Certificate Authority)是数字证书认证中心的简称,是指
颁发证书、废除证书、更新证书、验证证书、管理密钥的机构。CA建立自上而下的信任链,
下级CA信任上级CA,下级CA由上级CA颁发证书并认证。(因为下级CA的证书是用上级CA的密钥加密的,而上级CA的密钥只有自己知道,
因此别人无法冒充上级CA给别人发证书,因此才能形成自上而下的信任链!)
现在主流的浏览器:IE、Firefox,Opera和Safari等都会
预先安装一部分根证书,这些根证书都是受信任的证书认证机构CA,这样他们颁发的证书,浏览器将可以直接信任。虽然用户可以删除或者禁用这些根证书,但事实上,用户很少这么做。在最新的微软平台,甚至会在用户移除了预先安置的根证书后,当用户再访问这些被删除的根证书网站的时候,会自动将这些根证书恢复到信任列表中。
自签名证书的发行机构是用户自己,不在任何一个受信任的CA下,因此默认情况下,浏览器是不信任这个证书的!需要用户
手动添加证书例外、或者导入自签名的根证书!
PKI(Public Key Infrastructure)即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用
提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
参考:
X.509
PKI
分享到:
相关推荐
为您的内部基础结构颁发X.509证书: 可HTTPS证书(和 ) 用于VM,容器,API,移动客户端,数据库连接,打印机,wifi网络,烤箱的TLS证书... 客户端证书以在基础结构中 。 mTLS是TLS中的一项可选功能,客户端和...
CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。首先,主体发出证书申请...
PKI(公开密钥体系)中多个名词(数字证书--CA证书授权(Certificate Authority)中心发行的)的解释,
RapidSSL Rogue CA Certificate 90 Chosen-Prefix Collision Attack 92 Construction of Colliding Certificates 92 Predicting the Prefix 94 What Happened Next 96 Comodo Resellers Breaches 96 StartCom Breach...
为了提高可信第三方证书授权中心(certificate authority,CA)对数字证书的管理效率,提出了一种基于NTRUSign签名算法的多证书公钥基础设施(multi-certificate public key infrastructure,MCPKI)。对证书中所...
EJBCA(Enterprise Java Bean Certificate Authority)是一个全功能的CA系统软件,它基于J2EE技术,并提供了一个强大的、高性能并基于组件的CA。EJBCA兼具灵活性和平台独立性,能够独立使用,也能和任何J2EE应用程序...
EJBCA是基于JEE技术构建的企业级PKI证书颁发机构。 它是一个健壮的,高性能的,独立于平台的,灵活的,基于组件的CA,可以独立使用或集成在其他JEE应用程序中。
随着Internet的不断发展,使用电子邮件、Web浏览的用户...CA(Certificate Authority,认证中心)是PKI中不可缺少的一部分,本文将首先阐述与认证中心相关的一些基本概念,然后着重介绍一个认证中心的设计与实现。
PKI 公钥基础设施(pki)是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥... Certifying Authority, CA )施加数字签名。只要看到公钥证书,我们就可以知道认证机构认定该公钥的确属于此
所谓CA(Certificate Authority)认证中心,它是采用PKI(Public Key Infrastructure) 公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。
基于用户提供的证书签名请求(CSR),使用Web浏览器(Firefox,Safari等),使用Web服务器方法来获得由此单元测试CA签名的X.509证书。 该项目的灵感来自无数的物联网(IoT)项目,这些项目可能属于以下不良模式之...
证书策略(CP, Certificate Policy)是认证机构(CA,Certification Authority)制订的一组策略, 表明 CFCA PKI 体系中的各个参与者的划分与其 义务,并包含 CFCA 证书基本策略。 本证书策略的适用范围为 CFCA 发放...
为解决PKI信任体系互联互通问题,在对比分析现有PKI常用5种信任模型优缺点的基础上,借鉴已有信任模型,特别是桥CA模型的优点,提出了一个新的模型——多级桥CA信任(multilevel bridge certificate authority, MBCA...
XiPKI XiPKI(E X tensible的I mple P ublicķEY我nfrastructure)是一个高度可扩展的和高性能的开源PKI(CA和OCSP应答器)。执照Apache软件许可,版本2.0所有者廖丽君, 支持只需创建,或通过微xipki9 xipki9 xipki...
缩略语: 缩略语 英文全名 中文解释 AES Advanced Encryption Standard 高级加密标准 CA Certificate Authority 证书机构 DES Data Encryption Standard 数据加密标准 HTTPS Hypertext Transfer Protocol Secure ...
实验室 供内部(实验室)使用的私有证书... 此外,即使对于内部站点,也没有用户应该习惯于忽略任何浏览器警告(例如,有关自签名证书的警告)。 任何用户都不应习惯忽略任何浏览器警告 对于公共互联网, 通过简单
允许CA自动验证证书的申请人是否实际控制了标识符,并允许域持有者为其域颁发和撤销证书。 Boulder是运行的软件。内容总览博尔德分为以下主要组成部分: Web前端(每个API版本一个) 登记机关验证机构证书颁发机构...
该方案以PKI认证体系为不同密码体系安全域的管理框架,以CA(certificate authority)为不同安全域用户的公共跨域认证中心,对不同安全域的用户进行认证,并根据验证结果为其分配公共跨域身份和身份控制标签。...
openssl_ca:具有QT GUI的openssl_ca
的微缩版,卵石是一个小不适合用作生产CA.测试服务器 !!! 警告 !!! Pebble不适合用于生产用途。 Pebble仅用于测试。 根据设计,Pebble将在调用之间丢弃其所有状态,并随机化用于颁发的密钥/证书。 目标 Pebble...