证书的构成

最新推荐文章于 2021-08-24 09:48:03 发布
最新推荐文章于 2021-08-24 09:48:03 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 网络 文章标签: 数字证书 https

以下参考  https://blog.wilddog.com/?p=1185


X.509v3证书

X.509是PKI体系中的一个证书标准,PKI体系将在后面的文章中再介绍。RFC文档中有对X.509的详细描述[RFC文档](https://tools.ietf.org/html/rfc5280#section-4.1.1.2) 。当前野狗官网(https://www.wilddog.com)使用的证书格式正是X.509v3。

X.509v3证书由三部分组成:

  • tbsCertificate (to be signed certificate),待签名证书
  • SignatureAlgorithm,签名算法
  • SignatureValue,签名值

tbsCertificate又包含10项内容,在HTTPS握手过程中以明文方式传输:

  • Version Number,版本号
  • Serial Number,序列号
  • Signature Algorithm ID,签名算法ID
  • Issuer Name,发行者
  • Validity period,有效时间
  • Subject name ,证书主体名称
  • Subject Public Key Info ,证书主体公钥信息,包含公钥算法和公钥值
  • Issuer Unique Identifier (optional),发行商唯一ID
  • Subject Unique Identifier (optional),主体唯一ID
  • Extensions (optional),扩展


以下参考  http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html


◆Issuer (证书的发布机构)

指出是什么机构发布的这个证书,也就是指明这个证书是哪个公司创建的(只是创建证书,不是指证书的使用者)。对于上面的这个证书来说,就是指"SecureTrust CA"这个机构。

 

◆Valid from , Valid to (证书的有效期)

也就是证书的有效时间,或者说证书的使用期限。 过了有效期限,证书就会作废,不能使用了。

 

◆Public key (公钥)

这个我们在前面介绍公钥密码体制时介绍过,公钥是用来对消息进行加密的,第2章的例子中经常用到的。这个数字证书的公钥是2048位的,它的值可以在图的中间的那个对话框中看得到,是很长的一串数字。

 

◆Subject (主题)

这个证书是发布给谁的,或者说证书的所有者,一般是某个人或者某个公司名称、机构的名称、公司网站的网址等。 对于这里的证书来说,证书的所有者是Trustwave这个公司。

 

◆Signature algorithm (签名所使用的算法)

就是指的这个数字证书的数字签名所使用的加密算法,这样就可以使用证书发布机构的证书里面的公钥,根据这个算法对指纹进行解密。指纹的加密结果就是数字签名(第1.5节中解释过数字签名)。

 

◆Thumbprint, Thumbprint algorithm (指纹以及指纹算法)

这个是用来保证证书的完整性的,也就是说确保证书没有被修改过,这东西的作用和2.7中说到的第3个问题类似。 其原理就是在发布证书时,发布者根据指纹算法(一个hash算法)计算整个证书的hash值(指纹)并和证书放在一起,使用者在打开证书时,自己也根据指纹算法计算一下证书的hash值(指纹),如果和刚开始的值对得上,就说明证书没有被修改过,因为证书的内容被修改后,根据证书的内容计算的出的hash值(指纹)是会变化的。 注意,这个指纹会使用"SecureTrust CA"这个证书机构的私钥用签名算法(Signature algorithm)加密后和证书放在一起。

 

注意,为了保证安全,在证书的发布机构发布证书时,证书的指纹和指纹算法,都会加密后再和证书放到一起发布,以防有人修改指纹后伪造相应的数字证书。这里问题又来了,证书的指纹和指纹算法用什么加密呢?他们是用证书发布机构的私钥进行加密的。可以用证书发布机构的公钥对指纹和指纹算法解密,也就是说证书发布机构除了给别人发布证书外,他自己本身也有自己的证书。证书发布机构的证书是哪里来的呢???这个证书发布机构的数字证书(一般由他自己生成)在我们的操作系统刚安装好时(例如windows xp等操作系统),这些证书发布机构的数字证书就已经被微软(或者其它操作系统的开发机构)安装在操作系统中了,微软等公司会根据一些权威安全机构的评估选取一些信誉很好并且通过一定的安全认证的证书发布机构,把这些证书发布机构的证书默认就安装在操作系统里面了,并且设置为操作系统信任的数字证书。这些证书发布机构自己持有与他自己的数字证书对应的私钥,他会用这个私钥加密所有他发布的证书的指纹作为数字签名。

vtming
关注
专栏目录
X.509 数字证书结构简介
weixin_33690963的博客
04-08 265
1、简介 X.509被广泛使用的数字证书标准,是由国际电联电信委员会(ITU-T)为单点登录(SSO-Single Sign-on)和授权管理基础设施(PMI-Privilege Management Infrastructure)制定的PKI标准。X.509定义了(但不仅限于)公钥证书证书吊销清单、属性证书证书路径验证算法等证书标准。 在X.509系统中,CA签发的证书依照X.500的管...
证书的层级结构
实践求真知
10-01 2453
一 点睛 用户需要使用认证机构的公钥,对证书上的数字签名进行验证。 那么,对于用来验证数字签名的认证机构的公钥,怎样才能判断它是合法的呢?对于认证机构的公钥,可以由其他认证机构施加数字签名,从而对认证机构的公钥进行验证,即生成一张认证机构的公钥证书。 一个认证机构来验证另外一个认证机构的公钥,这样的关系可以迭代好几层。这样一种认证机构之间的层级关系,我们可以用某公司内部PKI来类比。例如某公...
说说证书——证书构成和常见三要素
weixin_33953384的博客
10-14 312
证书通常是一个几K的小文件,使用二进制或者一定编码的文本(例如Base64)等保存有关公私钥和相应的信息。 那么证书里面包含哪些信息呢? 简单来说有这些信息: ?Version number 证书版本 ?Serial number 证书序列号 ?Signature algorithm ID ...
深入理解加密、解密、数字签名(签名证书、加密证书)的组成和数字证书
moonpure的专栏
11-14 1万+
深入理解加密、解密、数字签名和数字证书    随着电子商务的迅速发展,信息安全已成为焦点问题之一,尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动,公开密钥基础设施( PKI, Public Key Infrastructure )逐步在国内外得到广泛应用。我们是否真的需要 PKI , PKI 究竟有什么用?下面通过一个案例一步步地来剖析这个问题 :...
初步理解加密,解密,数字签名,数字证书
xkq_lyx的专栏
03-12 1340
随着电子商务的迅速发展,信息安全已成为焦点问题之一,尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动,公开密钥基础设施( PKI, Public Key Infrastructure )逐步在国内外得到广泛应用。我们是否真的需要 PKI , PKI 究竟有什么用?下面通过一个案例一步步地来剖析这个问题 : 甲想将一份合同文件通过 Internet 发给远
ssl证书是由什么组成?ssl证书是什么?
u014389734的博客
08-24 238
互联网的发展给人们的生活提供了便利,当然大家需要对SSL证书进行一定的了解,现在很多的网站都安装了SSL证书,网站的通信协议是http它是明文传输的,但是给网站安装SSL证书之后,那么网站的信息传输就是https了,那么ssl的组成是什么?ssl是什么意思?大家一起了解一下吧。 SSL证书数字证书 SSL证书数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。 SSL 证书就是遵守 SSL协议 由受信任的数字证书颁发机构CA,在验证服务器身份后颁
行业文档-设计装置-一种证书装置夹及其构成证书.zip
08-18
本文将深入探讨“一种证书装置夹及其构成证书”的设计原理、应用场景以及实施细节。 首先,证书装置夹是一个存储数字证书的容器,它包含了一系列用于验证身份、加密通信以及签署代码的证书。在数字世界中,证书...
openssl命令操作证书链实例
09-06
在PKI系统中,证书链是一种验证数字证书的方式,它由一系列相连的证书构成,每个证书都由其上一级证书签名,直到到达一个被广泛信任的根证书。根证书通常由权威的证书颁发机构(CA)持有,它们的公钥被预装在大多数...
缺少证书链 SSL缺少证书链 怎么解决.zip
01-06
在SSL/TLS认证过程中,证书链由一系列数字证书构成,用于证明服务器身份。这包括: 1. **根证书(Root CA Certificate)**:由权威的、被广泛信任的证书颁发机构(CA)签发,它代表了整个证书链的信任基础。 2. **...
基于openssl 自行签发https 协议证书 openssl+nginx实现https自签有效加密实战记录
最新发布
03-30
文章中使用了openssl生成的根证书和服务器证书构成证书链。 知识点八:加密和解密的概念 加密和解密是指对数据进行加密和解密的过程。文章中使用了openssl和nginx实现了加密和解密。 知识点九:SSL/TLS协议的...
https原理:证书传递、验证和数据加密、解密过程解析
11-14
HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密,解密,验证的
ssl测试证书
01-06
这些中间证书构成证书链,它们逐级签署,最终链接到根证书。这样的设计使得CA可以更灵活地管理和分发证书,同时减轻了客户端存储大量根证书的压力。 在测试环境中,这些SSL测试证书可以用于模拟真实环境下的安全...
数字证书
thinker
10-19 939
数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在互联网上用它来识别对方的身份。 证书的格式遵循ITUTX.509国际标准 一个标准的X.509数字证书包含以下一些内容: 证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X.500格式; 证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049; 证书所有人的名称
X.509数字证书的结构与解析
热门推荐
ZP1015
08-07 4万+
1、什么叫数字签名数字签名:将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。 将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名 2、什么叫数字证书数字证书数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在In
数字证书的结构
ssdlleave的专栏
09-09 7269
数字证书的结构
SM2国密算法证书解析
sunboy2718的专栏
08-05 1万+
一、数字证书的组成 1)证书数据结构 数字证书使用ASN.1编码,证书文件以二进制或Base64格式存放,数据格式使用TLV(Tag Length Value)形式,T代表类型标识符,L是长度值标识符,V代表值编码。数字证书中的每一项都有个对应的类型T。一个数字证书就是一个大的TLV序列,然后V又由多个TLV组合而成。 SM2证书数据和RSA算法证书一样,包含证书版本、序列号、颁发者、使用者
如何生成证书
weixin_44551950的博客
05-28 3943
要生成证书必须要先获取到我们需要的数据,所以我们要获取到我们点击那条数据的选中行,为了防止出现错误,我们需要判断是否选中数据没,生成证书的时候为了节约时间,可以批量新增证书,因此我们选中的数据大于零就行了,因为我们查询数据都是通过ID来获取数据的,所以我们要设置包含多个ID的变量,然后把我们获取到的ID拼接起来,直接拼接ID会导致数据合在一起,使我们不清ID的值,所以我们在拼接数据的时候要在每个I...
签名、加密、证书的基本原理和理解
agongcao9295的博客
04-17 1208
最近开始接触后端PHP开发,里面涉及到的签名、加密、证书等概念弄得自己头晕眼花,最近查看了相关资料,下面把自己的理解写下来,有不对的地方,还请多指点指点。 数据传输安全的要满足的要求: 消息的发送方能够确定消息只有预期的接收方可以解密(不保证第三方无法获得,但保证第三方无法解密)。 消息的接收方可以确定消息是由谁发送的(消息的接收方可以确定消息的发送方)。 消息的接收方可以确...
数字证书的编程解析
阳光梦的专栏
04-26 5365
这篇文章主要介绍PKI公钥体系中非常核心元素——数字证书的编程解析。在SSL,SET等安全协议通信时,数字证书用于通信双方进行身份认证,并且依靠数字证书和非对称加密算法加密传输数据,或者根据数字证书协商通信双方的共享密钥。所以,用户想要开发自己的应用,实现身份认证,必须对数字证书进行解析。根据解析结果,符合一定条件的终端用户,才可以接入。 1、证书格式介绍 现有的数字证书大都采用了X.509规
星网锐捷:证书管理与X509V3结构实践
3. 证书链:证书链是指一系列证书构成的信任关系,从根证书到用户证书,形成一个验证路径。通过单击查看根证书按钮,学员将了解如何检查和分析证书之间的信任关系,这对于确保通信安全至关重要。 4. CRL (证书撤销...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值