了解X509证书

最新推荐文章于 2024-04-28 10:50:33 发布
最新推荐文章于 2024-04-28 10:50:33 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: PKI 文章标签: 算法 x509 数字证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a137748099/article/details/120235311
版权

X509证书

X509即我们常说的数字证书,因其内容为第三方可信机构CA对公钥实施数字签名,故也叫公钥证书,数字证书在PKI体系中是一个表明身份的载体,除了用户的公钥,还包含用户公开的基本信息,如用户名、组织、邮箱等。

除了包含用户的基本信息,X509证书有其特定的结构,具体可看RFC标准5208

X509使用ASN.1进行描述,可以抽象为以下结构

Certificate::=SEQUENCE{
         tbsCertificate      TBSCertificate,
         signatureAlgorithm  AlgorithmIdentifier,
         signatureValue      BIT STRING
 
}
TBSCertificate::=SEQUENCE{
    version           [0]   EXPLICIT Version DEFAULT v1,
    serialNumber            CertificateSerialNumber,
    signature               AlgorithmIdentifier,
    issuer                  Name,
    validity                Validity,
    subject                 Name,
    subjectPublicKeyInfo    SubjectPublicKeyInfo,
    issuerUniqueID    [1]   IMPLICIT UniqueIdentifier OPTIONAL,
    subjectUniqueID   [2]   IMPLICIT UniqueIdentifier OPTIONAL,
    extensions        [3]   EXPLICIT Extensions OPTIONAL
}

ASN.1语法可以类比为C语言中的结构体互相嵌套,其主体结构如下图所示

以下引用SM2证书标准《GMT 0015-2012 基于SM2密码算法的数字证书格式》的表述

数字证书具有以下特性:

——任何能够获得和使用认证机构公钥的用户都可以恢复认证机构所认证的公钥。

——除了认证机构,没有其他机构能够更改证书,证书是不可伪造的。

由于证书是不可伪造的,所以可以通过将其放置在目录中来发布,而不需要以后特意去保护它们。

注:尽管在DIT中使用唯一性名称来明确定义CA,但这并不意味着CA组织和DIT之间有 任何联系。

认证机构通过对信息集合的签名来生成用户证书,信息集合包括可辨别的用户名、公钥以及一个可选的包含用户附加信息的唯一性标识符(unique identifier))。唯一性标识符 内容的确切格式本章未做规定,而留给认证机构(CA)去定义 。唯一性标识符可以是诸如对象标识符、证书、日期或是说明有关可辨别用户名的有效性的证书的其他形式。具体地说,如果一个用户证书的可辨别名为A,唯一性标识符为UA,并且该证书是由名为CA,其唯一性标识符为 UCA的认证机构生成的,则用户证书具有下列的形式:

CA<≡(A>>=CA(V,SN,AI,CA,UCA,A,UA,Ap,TA}

这里 V为证书版本;SN为证书序列号;AI为用来签署证书的算法标识符;UCA为CA的 可选的唯一性标识符;UA为用户A的可选的唯一性标识符;Ap为用户A的公钥;TA表示证书的有效期,由两个日期组成,两者之间的时间段即是证书的有效期。证书有效期是一个时间区间,在这个时间区间里,CA必须保证维护该证书的状态信息,也就是发布有关撤销 的信息数据。由于假定TA在不小于24h的周期内变化 ,要求系统以格林威治时间(Coordinated Universal Tlme)为基准时间。证书上的签名可被任何知道 CA公钥CAp的用户用来验证证书的有效性。CRL是CA对撤销的证书而签发的一个列表文件,该文件可用于应用系统鉴别用户证书的有效性。CRL遵循X.509V2标准的证书撤销列表格式 。

 X509证书的解析其实就是对证书的ASN1格式进行解析,所以最原始的解析方式就是根据其确定的ASN1格式,对数据进行解析,但实际开发使用中,我们使用的接口都不会涉及到ASN1的解析,因为大多数框架已经帮我们进行实现,如OpenSSL,当然我们也要知晓这其中实现方式。

可以使用ASN.1解析工具查看证书的结构,在线解析工具,从中可以很清楚直观地看到证书的结构及数据信息

X509证书格式

Der:二进制格式,一般为.cer、.crt后缀,即基于ASN.1格式生成证书,保存形式即为二进制格式

Pem:文本格式,由于证书是具有流通性的,二进制格式不利于在文本上查看、复制等操作,故对证书的二进制格式进行Base64编码生成可视的文本格式,并施加“-----BEGIN CERTIFICATE-----”“-----END CERTIFICATE-----”头部和尾部

PFX:PKCS12定义的标准,将证书、私钥、CA证书链打包成一个安全文件,方便传输及使用,PFX证书不能直接查看,需要私钥的密码方可做进一步解析

P7B:PKCS7定义的标准,包含签名或加密信息,也会包含证书,故可从中解析除证书信息

SM证书

SM证书的结构和RFC5208标准是一致,但由于SM2证书签名使用的散列一般为SM3,签名算法为SM2,很多框架的证书解析的库没有支持SM3和SM2相关的算法实现,所以无法正常解析。之前介绍的使用Go的X509库就是无法正常解析,后续介绍的OpenSSL解析X509证书将支持SM2证书的解析。

芒果黑
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
打印x509证书信息-Golang开发
05-26
类似于openssl x509 -in -text命令,但处理链,多个文件和TCP地址。 使用TCP地址参数时,也会打印TLS / SSL版本。 打印x509证书信息类似于openssl x509 -in -text命令,但处理链,多个文件和TCP地址。 使用TCP地址参数时,也会打印TLS / SSL版本。 用法文件参数可以是本地文件路径或TCP网络地址( 例如google.com:443)certinfo [file | host:port] [...] + ------------------------------------- ----------------------------------------------- + | 可选标志
openssl文档_openssl_x509_
10-04
openssl相关文档,包含pkcs7、x509、bio相关内容
解决极狐GitLab release 关键字使用中 x509 证书不受信任的问题
GitLab 中国发行版
02-04 522
使用自签名证书使用极狐GitLab release 关键字时,会遇到 x509 证书不受信任的问题。可以有两种方法来解决。
数字证书X.509格式详解
BiigPanda的博客
01-10 5834
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN.1语法进行编码。
X509证书的作用有哪些?
极客神殿
09-24 434
X.509证书是一种用于公钥基础设施(PKI)的标准化数字证书格式,它在网络通信和信息安全领域起着关键作用。总之,X.509证书在保护信息安全、建立信任和实现安全通信方面具有广泛的应用,它们是PKI体系结构的核心组成部分。证书的有效性和安全性取决于证书颁发机构的可信度和实施细节。
openssl命令操作证书链实例
09-06
提供实际操作的示例,演示linux下用openssl提供的命令,生成多级证书,并验证各级证书的合法性。
X509证书详解
热门推荐
weixin_43408952的博客
05-11 2万+
X509证书全面解读
X509证书基本概念
marylgao技术专栏
04-10 9098
编码格式 x509证书主要有2种编码格式,一种是DER格式,另一种是PEM格式。 1. DER格式 二进制格式。der类型的不用在编码解码,直接就是二进制的数据可以直接使用 2.PEM格式 PEM格式数据要根据base64编码解码后,得到的数据需要进行增加或裁剪特殊字符-、\n、\r、begin信息、end信息等。 下面一个例子就是PEM格式的私钥文件, 以-----BEGIN PRIVATE KEY----开头, 以-----END PRIVATE KEY-----结尾。 -----BEGIN PRIV
X509数字证书学习
mayue_web的博客
06-04 3264
X509证书概念、格式和应用
openssl命令x509证书操作详解
N阶二进制的博客
11-03 3810
OpenSSL 是一个开源的加密和解密工具,它提供了一系列命令来操作证书和密钥。以下是一些常用的 OpenSSL 命令,用于操作证书的详细解释:生成自签名证书是指在没有经过任何第三方证书颁发机构(CA,Certificate Authority)的认证下,由个人或组织自行创建和签名的数字证书。自签名证书可以用于安全通信,但在实际应用中,它们通常用于测试、开发和内部使用,而不是在公共网络中使用,因为它们没有受到可信任 CA 的验证,可能会引发安全问题。在使用自签名证书时,虽然可以加密通信,但客户端在连接时通常
X509数字证书结构和实例
08-20
详细分析了X509证书内部结构,对需要了解X509格式很有学习意义
Openssl之X509系列
05-03
X509是系列的函数在我们开发与PKI相关的应用的时候我们都会用到,但是OpenSSL中对X509的描述并不是很多。初学者可能对openssl实现X509证书不太了解,文档可以帮助大家尽快上手。
通过X.509证书简单实现WCF安全
03-07
想要了解WCF的朋友可以下载了解,用到的工具为.NET
icingaweb2-module-x509:跟踪证书在网络环境中的部署情况
05-16
Icinga证书监控 Icinga的证书监视模块会跟踪在... 该模块的Web前端可用于查看扫描结果,从而使您能够深入了解有关所发现的景观证书的详细信息: 一目了然,您会看到哪些CA颁发了您的环境证书和关键计数器: 文献资料
AzureIoTDPSCertificates:用于为Azure IoT中心设备预配服务创建X.509证书的示例应用程序
02-02
进一步阅读要详细了解应用程序的详细信息和原因,请参阅随附的博客文章:重要的提醒如果您没有X.509证书证书颁发机构等方面的经验,则不应构建自己的CA基础结构。 此存储库中的代码是一个示例应用程序,可满足我...
Codeforces Round 941 (Div. 2) (A~D)
weixin_61825750的博客
04-28 707
然后考虑若此时存在两个堆,那么对于Alice而言,其操作可以使得小的那个堆只剩下1,下一步Bob必须选1,然后Alice就胜利了。相反,若小的那个堆一开始就是1,那么Alice就输了。接下来推广到若干堆的情况:对于任意一方而言,若最小堆不是1,那么便可以控制胜利,于是我们只需要枚举到最小堆不是1的情况即可,然后看是谁在操作就是谁赢。思路:若要使得所有方格同色,关键在于四个角上的颜色,若对角上的颜色一样就能直接将所有格子变为同色。思路:首先处理 < k 的部分,我们可以通过二进制的思想来构造整数,例如。
算法训练营第十一天 | LeetCode 20 有效的括号、LeetCode 1047 删除字符串中的所有相邻重复项
qq_63149342的博客
04-27 121
注意用的是字符串数组作为输入,而我们要用int型进行计算,这时候就要用到一个string转int类型的库函数stoi函数,aoti是字符数组转int类型。一个是最后循环结束后要判断栈内存是否为空,一个是出栈时要判断栈是否为空,总的来说是考验对于栈内存空间的掌控吧。这一题考栈的性质,相邻字符用未进栈的元素和进栈的元素进行模拟即可,相同且栈不为空即出栈,否则进栈,之后将栈内元素全部导入一个字符串,还要注意要写一个反转函数翻转下即可。LeetCode 1047 删除字符串中的所有相邻重复项。
Golang | Leetcode Golang题解之第56题合并区间
最新发布
weixin_66442839的博客
04-28 459
Golang | Leetcode Golang题解之第56题合并区间
openssl x509
09-07
您好!对于openssl x509命令,它用于操作和管理X.509证书。您可以使用它来查看、验证、生成和转换X.509证书。它提供了许多选项和功能,您可以根据需要进行使用。 一些常见的openssl x509命令选项包括: - `-in <file>`:指定要操作的证书文件。 - `-out <file>`:指定输出结果的文件。 - `-text`:以文本形式输出证书的详细信息。 - `-noout`:不输出任何信息,仅执行命令。 - `-subject`:输出证书的主题信息。 - `-issuer`:输出证书的发行者信息。 - `-checkend <seconds>`:验证证书是否在指定的秒数内过期。 - `-startdate`:输出证书的起始日期。 - `-enddate`:输出证书的结束日期。 这只是一小部分可用选项的示例。您可以根据自己的需求进一步了解和使用openssl x509命令。如果您有特定的问题或需求,请告诉我,我将尽力帮助您!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值