0
0

轻松掌握X.509数字证书全解析,附赠权威详解资料!一读通透,安全之旅从此启程!

我们常见的

  1. .pem

  1. .pfx

后缀的文件就是X.509证书,X.509是最广泛使用的数字证书格式,由X.509标准定义,用于身份验证和加密。在互联网上,如HTTPS、SSL/TLS等安全通信中,服务器通常使用X.509证书来证明其身份。你真得了解X.509证书么?它有哪些字段?分别代表着什么含义?它又有哪些存储格式呢?

1. 概念

X.509证书是一种遵循X.509标准(

  1. RFC 5280

)的数字证书,用于验证网络通信中的实体身份。它包含了公钥、证书认证机构(CA)信息、有效期、序列号以及证书持有者的其他元数据。X.509证书广泛用于HTTPS、S/MIME、SSL/TLS等安全协议中,以确保通信双方的身份真实性。

X.509证书和证书是信息安全领域中常用的两种概念,它们之间有着紧密的联系(都用于身份验证和数据加密,可增强网络通信的安全性),但也存在明显区别。X.509证书是一种具体类型的证书,遵循特定的标准化格式。证书这个术语更通用,泛指任何用来证明身份或所有权的电子文件,不仅仅局限于X.509标准。除了X.509证书,还有其他类型的证书,如PGP证书(用于PGP加密系统),用于验证密钥的归属。

接下来介绍 X.509证书会使用到一些常用术语。这些术语比较基础,大家看到文字描述就能理解。若想了解更多关于X.509证书的细节,可以参阅如下标准文档(访问密码: 6277):

  • RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.pdf (英文文档,适用于英文阅读能力好同学)
  • GB/T 20518-2018 信息安全技术 公钥基础设施 数字证书格式.pdf (中文文档,国家标准)

RFC 5280
GB/T 20518-2018 信息安全技术 公钥基础设施 数字证书格式

1.1. 证书认证机构(CA)

CA(Certifcate Authority)是指受用户信任,负责创建和分配证书的权威机构。证书认证机构也可以为用户创建密钥。比如大家经常访问的百度网站的https证书就是由 GlobalSign 认证机构颁发的。
百度https证书
一些知名的CA机构如下:

  • VeriSign:美国的一家领先提供商,提供SSL/TLS证书和企业验证服务,如DigiCert和GeoTrust。
  • Thawte:曾是全球最大的SSL证书提供商之一,2000年初 VeriSign 以 5.76亿美元收购 Thawte,Thawte 成为了 VeriSign 的全资子公司。
  • Symantec:提供全面的网络安全解决方案,包括SSL/TLS证书(现名DigiCert)。
  • Comodo:以其经济实惠的SSL证书而知名,广泛用于中小企业和个人网站。
  • GlobalSign:提供数字证书和安全服务,支持各种行业标准。
  • Let’s Encrypt:非营利组织,提供免费的SSL/TLS证书,促进互联网的加密使用。
  • DigiCert:通过并购扩张,提供高级别的安全证书和服务。
  • Cisco Web Security Academy:专注于企业网络安全的证书,如CCNA Cybersecurity等。

这些机构通常会颁发包括SSL/TLS(如HTTPS)、EV SSL(扩展验证,用于增强网站的信任度)、代码签名(验证软件开发者身份)等多种类型的证书。每个证书都有其适用场景和特点,选择时要考虑安全性、成本和合规性等因素。

1.2. 自签名证书

信任来源于证书本身的证书就是自签名证书。自签名证书可以是CA证书,也可以是叶证书。自签名并不一定意味着证书不如CA签名的证书可信,它只是意味着你直接信任证书,而不是信任签名实体。

1.3. 根证书

证书链真相的最终来源。根证书是自签名的,这意味着他们信任自己,也可以签署其他证书。因为它们是其他应用程序信任的根源,所以通常对如何存储和轮换它们有严格的要求。

根CA是一种签名CA。

1.4. 证书链

证书链实质上是信任链,从根CA到叶子证书,在中间有一定数量的CA。

举个简单例子,信任链就像当你找到工作时,因为你哥哥室友的表弟在你申请工作时为你担保。此案例中信任链是这样的:表弟 

  1. [信任]

室友 

  1. [信任]

兄弟 

  1. [信任]

你。这里你就是要求被信任的叶子证书,你哥哥室友的表弟就是根CA

1.5. PKI

PKI(Public Key Infrastructure)即公钥基础设施,是处理托管CA和签署证书的机器,提供鉴别、加密、完整性和不可否认性服务。

2. 证书字段

X.509 证书标准有三个增量版本,每个后续版本都向标准添加了证书字段:

  • 1988 年发布的版本 1 (v1),遵循证书的初始 X.509 标准。
  • 1993 年发布的版本 2 (v2),向版本 1 中包含的字段添加了两个字段。
  • 2008 年发布的版本 3 (v3),即 X.509 标准的当前版本。 此版本添加了对证书扩展名的支持。

下表中列出了证书的字段简单介绍,方便大家对其有一个基本认识,若想了解更多有关证书字段和证书扩展名的详细信息(包括数据类型、约束和其他详细信息),可参阅 

  1. RFC 5280

规范。
名称说明引入版本版本标识证书版本号的整数。v1序列号一个整数,表示证书颁发机构 (CA) 颁发的每个证书的唯一编号。v1SignatureCA 用来签署证书的加密算法的标识符。 该值包括算法的标识符和该算法使用的任何可选参数(如果适用)。v1颁发者发证 CA 的证书的可分辨名称 (DN)。v1有效期证书有效的非独占时间段。v1主题证书使用者的可分辨名称 (DN)。v1使用者公钥信息证书使用者拥有的公钥。v1颁发者唯一 ID表示发证 CA 的唯一标识符,由发证 CA 定义。此字段很少使用v2使用者唯一 ID辨识证书使用者的唯一标识符,由发证 CA 定义。此字段很少使用v2证书扩展标准和 Internet 特定证书扩展名的集合。 有关可用于 X.509 v3 证书的证书扩展名的详细信息,请参阅证书扩展名。v3
X.509 v3 中引入的证书扩展提供了将更多属性与用户或公钥关联的方法,以及管理证书颁发机构之间的关系的方法,扩展字段介绍如下:

在这里插入图片描述
X.509 证书样例:聪明的你一定能看出如下证书是哪个版本的

mp.weixin.qq.com域名的证书

3. 证书格式

日常中可采用多种格式保存证书,如用隐私增强邮件 (PEM) 和个人信息交换 (PFX) 格式,下表描述了证书的常用文件格式及其说明。
格式说明二进制证书DER格式的证书文件通常具有.der 或 .cer 后缀,DER(Distinguished Encoding Rules,显式编码规则)ASN.1 编码的原始格式二进制证书,广泛用于数字证书的编码和传输。ASCII PEM 证书PEM (Privacy Enhanced Mail,隐私增强邮件) 证书 (.pem) 文件包含以

  1. -----BEGIN CERTIFICATE-----

开头且以

  1.  -----END CERTIFICATE-----

结尾的 Base64 编码证书。ASCII PEM 密钥包含 Base64 编码的 DER 密钥,可以选择包含有关用于密码保护的算法的其他元数据。PKCS #7 证书一种用于传输已签名或已加密数据的格式。 它可以包括整个证书链。 

  1. RFC 2315

定义此格式。此格式只包含证书文件,不含私钥信息。PKCS #8 密钥私钥存储的格式。 

  1. RFC 5208

定义此格式。PKCS #12 密钥和证书一种复杂的格式,可以存储和保护密钥和整个证书链。 它通常与 .p12 或 .pfx 扩展名一起使用。 PKCS #12 等同于 PFX 格式。 

  1. RFC 7292

定义此格式。此格式的证书包含了私钥信息。

PKCS(Public-Key Cryptography Standards)是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。

X.509 证书样例(pem格式):

  1. -----BEGIN CERTIFICATE-----
  2. MIIHFTCCBf2gAwIBAgIQDpLsxHpKWwGypoFVSN8UOjANBgkqhkiG9w0BAQsFADBM
  3. MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSYwJAYDVQQDEx1E
  4. aWdpQ2VydCBTZWN1cmUgU2l0ZSBDTiBDQSBHMzAeFw0yNDAzMTkwMDAwMDBaFw0y
  5. NTA0MTYyMzU5NTlaMIGUMQswCQYDVQQGEwJDTjEbMBkGA1UECBMSR3Vhbmdkb25n
  6. IFByb3ZpbmNlMREwDwYDVQQHEwhTaGVuemhlbjE6MDgGA1UEChMxU2hlbnpoZW4g
  7. VGVuY2VudCBDb21wdXRlciBTeXN0ZW1zIENvbXBhbnkgTGltaXRlZDEZMBcGA1UE
  8. AxMQbXAud2VpeGluLnFxLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoC
  9. ggEBANxO6WinPa7FSfoQsDzrySWpMOdYkk3TUlXfXQOCxrcrTbPxhLAk8sFJG0qV
  10. QaGB0oLNHPt2IyZVbgluIDLzJedo/MMmW5qNlmNw2dUdd2duTjHF7ay38Y+ynY16
  11. eeXde4GjjYSQgVmOGOYdjRW8h/0KGToxzY6SgFUWL7qgjLgq4epjlw32rzZwsCPy
  12. qvElWOXdv95cGFdyu+Yi8x6EZdE80p+/FsQNj9WOQQYhJU/IkFLWLRMAa7LV1wWQ
  13. Hq0CmoenU599sNh98Nd+Xv7B7uAqXPaoELSz3raR/Jef7F+8ztpalbxkCowD6X39
  14. geHA0yy2lJ2Hh1glcJmzD+ymbLsCAwEAAaOCA6gwggOkMB8GA1UdIwQYMBaAFETZ
  15. yEozjtNSjaeSlGEfmsilt+zLMB0GA1UdDgQWBBQGD/I/ZxIkZpd1bvJm85YFkseX
  16. zDCBowYDVR0RBIGbMIGYghBtcC53ZWl4aW4ucXEuY29tghMqLmFwaS53ZWl4aW4u
  17. cXEuY29tghIqLm1wLndlaXhpbi5xcS5jb22CFCoub3Blbi53ZWl4aW4ucXEuY29t
  18. ggwqLndlY2hhdC5jb22CDyoud2VpeGluLnFxLmNvbYITbXAud2VpeGluYnJpZGdl
  19. LmNvbYIRc2VydmljZXdlY2hhdC5jb20wPgYDVR0gBDcwNTAzBgZngQwBAgIwKTAn
  20. BggrBgEFBQcCARYbaHR0cDovL3d3dy5kaWdpY2VydC5jb20vQ1BTMA4GA1UdDwEB
  21. /wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwRAYDVR0fBD0w
  22. OzA5oDegNYYzaHR0cDovL2NybC5kaWdpY2VydC5jbi9EaWdpQ2VydFNlY3VyZVNp
  23. dGVDTkNBRzMuY3JsMHgGCCsGAQUFBwEBBGwwajAjBggrBgEFBQcwAYYXaHR0cDov
  24. L29jc3AuZGlnaWNlcnQuY24wQwYIKwYBBQUHMAKGN2h0dHA6Ly9jYWNlcnRzLmRp
  25. Z2ljZXJ0LmNuL0RpZ2lDZXJ0U2VjdXJlU2l0ZUNOQ0FHMy5jcnQwDAYDVR0TAQH/
  26. BAIwADCCAX0GCisGAQQB1nkCBAIEggFtBIIBaQFnAHUATnWjJ1yaEMM4W2zU3z9S
  27. 6x3w4I4bjWnAsfpksWKaOd8AAAGOVLbAWAAABAMARjBEAiB0AuYhNyhwlHQd6WFo
  28. a9GfsU/bmlJn7r6FHLAj/wGsgQIgfErmXH1IwsbDVgF6maNb/fT3MtTLMYW2gtZM
  29. sVlXPxwAdgB9WR4S4XgqexxhZ3xe/fjQh1wUoE6VnrkDL9kOjC55uAAAAY5UtsBb
  30. AAAEAwBHMEUCIQCHHQPM7H33iggYOXXVILeCcWJcPAc1Q5AHxMvvf2uBGQIgWmtG
  31. bq/U1pvGR6Ese/9iEcfilTWCZuFtQ1TAYdXks4cAdgDm0jFjQHeMwRBBBtdxuc7B
  32. 0kD2loSG+7qHMh39HjeOUAAAAY5UtsBvAAAEAwBHMEUCIQCiNqMPK5nyOYjUEZjs
  33. IZo8ffdJ3fEUjcKJLgBJOpxwigIgNDtgtz6rgTB6Nm7RCLA5hdvJw0zg3Vf7aNDL
  34. YHh0Ri0wDQYJKoZIhvcNAQELBQADggEBAEDzI6foyjza6cAPqGNDg0fE0nzYrFm/
  35. SrAuMGGUTmY4Xdpf9pHFTvET7nCJTEv4RDoHauQIwuYszo0xCcpNWaDtsYOELGi3
  36. x51t8VLBKnduOqDavBMmWdJA/srLZAAVbTvy4RQkSOCazRsmEIkxZ+DDqnIdtsh2
  37. QB4Fwi4w1i+3jO4uj5GDbOBKljfsQflXJH70AFF4GNiQIPTftqadX+CGjaKELw3U
  38. BlbGQfaA4uH8ejgXG4Kz7UBLd+ARTTz9C/1v/NBDKriym0jBpe7ElwSWYeNXogDD
  39. Vati/dLM+cpYXhrd1XG41f5REuceehlX4qsJ7PbNrbU2u7lLW/36uPc=
  40. -----END CERTIFICATE-----

看看你能否找到以上证书的有效期吧!欢迎在评论区留下你的答案。

提示:以上字符串为微信域名mp.weixin.qq.com的证书,将以上文本复制到文本文件并以.pem为后缀,在Window或MacOS即可以双击打开查看证书详情。

若想了解更多关于X.509证书的细节,可以参阅如下标准文档(访问密码: 6277):

  • RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.pdf
  • GB/T 20518-2018 信息安全技术 公钥基础设施 数字证书格式.pdf

4. 参考链接

在这里插入图片描述

标签: 数据库 安全
本文转载自: https://blog.csdn.net/u013129300/article/details/139902462
版权归原作者 筑梦之月 所有, 如有侵权,请联系我们删除。
登录后发布评论

“轻松掌握X.509数字证书全解析,附赠权威详解资料!一读通透,安全之旅从此启程!”的评论:

还没有评论
关于作者
...
overfit同步小助手
文章同步
相关阅读

网络安全法-网络运行安全

使用selenium/drissionpage时如何阻止chrome自动跳转http到https

docker desktop 里部署的Open WebUI 管理员密码忘记了的处理方法

在ubuntu20.04中搭建onsite比赛运行环境

利用开源的低代码表单设计器FcDesigner高效管理和渲染复杂表单结构

Kafka学习笔记

【前端】浏览器输入url到页面呈现发生了什么?