介绍一下 X.509 数字证书中的扩展项 subjectAltName

最新推荐文章于 2024-06-25 07:43:41 发布
最新推荐文章于 2024-06-25 07:43:41 发布
阅读量1.6w 收藏 17
点赞数 5
分类专栏: 密码学与信息安全 ASN.1编码 文章标签: 数字证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henter/article/details/91351800
版权

        在 RFC 5280《Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile》中定义了 X.509 公钥数字证书和证书撤销列表的内容和格式。

        在 X.509 编码格式的数字证书中,使用 Issuer 子项标明证书的颁发者,Issuer 子项必须包含一个非空的 DN (Distinguished Name) 名,证书中还可以使用扩展项 issuerAltName (即 Issuer Alternative Names 的缩写) 来表示证书颁发者的其他名称,issuerAltName 是一个非关键的(non-critical)扩展项。

        数字证书使用 Subject 子项标明证书的持有者,并且使用 subjectAltName 扩展项对持有者的身份进行更多的标记和界定,在 subjectAltName 中可以包含有关持有者身份的多条信息。如果证书持有者是一个CA,则 Subject 项不能为空,必须包含一个 DN 名,该 DN 名必须与该 CA 颁发的所有证书中 Issuer 项的 DN 名相同。

        在 RFC 5280 4.2.1.6.小节 “Subject Alternative Name” 中,定义了 subjectAltName(即Subject Alternative Name,还可以缩写为:SAN),它可以包含以下内容:电子邮件地址、域名、IP 地址、URI(Uniform Resource Identifier),而且以上类型的值可以存在一个或多个。如果证书中的 Subject 项的内容为空,则 CA 在颁发证书时,必须在证书中放入扩展项 subjectAltName,并且应将该扩展项标记为 critical。当证书中的 Subject 项包含不为空的 DN 名时,CA 在颁发证书时必须将 subjectAltName 标记为 non-critical。

        当扩展项 subjectAltName 包含一个电子邮件地址时,邮件地址的格式必须为 Local-part@Domain 形式,例如 TestUser@163.com,注意不能写成 <Local-part@Domain>,即不要使用尖括号 < 和 > 将邮件地址包起来。类似于 subscriber@example.com 形式的电子邮件地址是合法的,但是像 subscriber.example.com 这种形式的电子邮件地址不允许在SubAltName 中出现。
        当扩展项 subjectAltName 包含一个 IP 地址时,可以使用 IPv4 或 IPv6 形式的地址。
        当扩展项 subjectAltName 包含一个 dNSName 名时,此时证书持有者的名称是一个域名,这个域名以 IA5String 格式表示,被存储在 subjectAltName 的 dNSName 子项中。尽管空字符串也是一个合法的域名,但是在 subjectAltName 中不允许使用值为空串的 dNSName 项。

        在 RFC 5280 中对 subjectAltName 的 ASN.1 编码定义如下:
id-ce-subjectAltName  OBJECT IDENTIFIER ::= { id-ce 17 }

SubjectAltName  ::=  GeneralNames

GeneralNames  ::=  SEQUENCE SIZE (1..MAX) OF GeneralName

GeneralName  ::=  CHOICE {
    otherName [0]  OtherName,
    rfc822Name [1]  IA5String,
    dNSName [2]  IA5String,
    x400Address [3]  ORAddress,
    directoryName [4]  Name,
    ediPartyName [5]  EDIPartyName,
    uniformResourceIdentifier [6]  IA5String,
    iPAddress [7]  OCTET STRING,
    registeredID [8]  OBJECT IDENTIFIER }

OtherName  ::=  SEQUENCE {
    type-id  OBJECT IDENTIFIER,
    value [0]  EXPLICIT ANY DEFINED BY type-id }

EDIPartyName  ::=  SEQUENCE {
    nameAssigner [0]  DirectoryString OPTIONAL,
    partyName [1]  DirectoryString }

        根据 RFC 6125《Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)》中的规定,当一个网站使用 TLS 证书标记自己的身份时,如果证书中包含 subjectAltName,在识别证书持有者时会忽略 Subject 子项,将以 subjectAltName 中包含的内容来识别证书持有者。在早期颁发的证书中可能未包含 subjectAltName,但是在新颁发的证书中必须包含 subjectAltName 项。最新版本的浏览器如 Chrome、Firefox 等在通过 HTTPS 访问 web 网站时,会对网站证书中的 subjectAltName 项进行检查,如果未包含该项或该项有问题,Chrome 浏览器会报告 NET::ERR_CERT_COMMON_NAME_INVALID 错误,并提示“安全证书没有指定主题备用名称”。

        对于一张 TLS 证书,如果这张证书将被用于多个网址,则应在 Subject 子项中 CommonName 部分放入一个最重要的URI,并且只能包含一个 URI。可以将所有的 URI 放置到 subjectAltName(即:SAN)中,根据 CA/Browser Forums(即:CA/浏览器论坛国际组织)的规定,在 Subject 子项 CommonName 部分出现的 URI 必须在 SAN 中再次出现,而且通常出现在“SAN DNS Name=...”列表中第一个元素的位置。浏览器会检查当前访问的网址是否与证书中 SAN 扩展项里包含的 DNS Name 列表中的某一个网址相符,如果不符就会报错。

        下面看一个示例,在 Chrome 浏览器中访问 GitHub 网站,并查看证书,如下图:

        证书中的 Subject 子项内容如下:

        然后查看 SAN 项的内容,结果如下图:

        可以看到 SAN 项中包含两个 DNS Name=... 的条目,并且第一条内容与 subject 项的 CN (即 CommonName)的值相同。

henter
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 下使用 OpenSSL 命令行创建包含 subjectAltName 扩展数字证书
henter的专栏
07-28 5270
1. CA 的基本原理简介(了解相关背景知识的读者请跳过这一部分) 我们回想一下在生活,两个以前从未谋面的人如何核实对方的身份。由于每一个公民都有派出所颁发的身份证,两个人只要通过查看对方的身份证,就可以大体上知道对方是谁。这个验证身份的过程如下图: 在互联网上,识别陌生实体的思路与上述过程类似。首先建立一个有公信力的认证机构 CA(即Certificate...
X509证书的扩展(Extensions)
展望、进击
04-18 548
在数字安全领域,X.509证书扩展(Extensions)扮演着至关重要的角色,提供了证书定制化的可能性,以适应不同的安全需求和策略。本文将详细探讨X.509证书扩展功能、它们的种类及其在保证网络安全的重要性。🔒🌟
一读通透 | 轻松掌握X.509数字证书全解析,附赠权威详解资料!
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
06-25 1489
我们常见的.pem.pfx后缀的文件就是X.509证书,X.509是最广泛使用的数字证书格式,由X.509标准定义,用于身份验证和加密。在互联网上,如HTTPS、SSL/TLS等安全通信,服务器通常使用X.509证书来证明其身份。你真得了解X.509证书么?它有哪些字段?分别代表着什么含义?它又有哪些存储格式呢?
certify:使用“subjectAltName扩展名创建自签名证书
06-19
证明 Certify 使用“subjectAltName扩展名创建并自签名 X.509 SSL/TLS 证书。 介绍 首先要做的事情是:如果您想要在面向公众的 https 网站上使用 SSL/TLS 证书,请前往并购买。 这是目前为访问者可靠地验证和加密网站的唯一方法。 网络公钥基础设施的实际安全性。 有些人甚至声称。 但在你只需要吞下它并付钱给大男孩来保护。 尽管如此,对于小型个人目。 一旦您的浏览器拥有自签名证书的合法副本,您就可以通过加密的 TLS 连接安全地访问该网站。 由于政府控制根证书颁发机构,一些人甚至认为安全分发的自签名证书。 至少,自签名证书成功地避免了以明文形式发送密码。 使用openssl自签名 创建证书的标准工具是openssl命令行实用程序。 首先,您需要一个公钥/私钥对,您可以使用openssl genpkey或openssl genrsa创建它。 然后
x509-subjectAltName
liudong200618的博客
03-14 1086
x509
X.509 数字证书扩展 subjectAltName
sky527759的博客
04-10 984
介绍一下 X.509 数字证书扩展 subjectAltName
【HTTPS】使用OpenSSL生成带有SubjectAltName的自签名证书
热门推荐
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
关于X.509V3公钥证书的扩展
天岸马的专栏
06-24 5085
一般人对证书的其它各比较熟悉,但对它的扩展却比较陌生一些。那么这些扩展都有什么作用呢?事实上,这些扩展共有如下几类:   ◆Authority密钥标识符—证书所含密钥的唯一标识符,用来区分同一证书拥有者的多对密钥。   ◆密钥使用—一个比特串,指明(限定)证书的公钥可以完成的功能或服务,如:证书签名、数据加密等。   ◆扩展密钥使用—由一个或多个对象标识符(OIDs)组成,可以说明证书密钥
X.509数字证书
04-09
总结,X.509数字证书是现代网络通信确保信息安全的重要工具,它的存在使得我们可以确信我们正在与正确的实体进行交互,而不仅仅是看似正确的网站或服务器。理解和正确使用X.509证书对于维护网络安全具有至关重要的...
基于GO语言实现的X.509证书.zip
07-06
一个X.509证书包含了其版本号,证书序列号,签名算法,签发者,证书主体,有效期,公钥,公钥密钥等信息。证书的信息使用 ASN.1进行编码,ASN.1数据以tag,长度,值的方式进行编码。 详细介绍参考:...
x509:用于 X.509 公钥证书、属性证书、认证请求和认证路径验证的 PHP 库
05-31
X.509 证书 ( ) 证书解码和编码 证书签名 认证请求( ) CSR解码和编码 认证途径 路径建设 路径验证 属性证书 ( ) AC解码和编码 交流签署 要求 PHP >=7.2 GMP 安装 这个库在Packagist上可用。 composer ...
KeyTool 工具生成X.509证书
08-06
KeyTool工具生成X.509证书是Java平台自带的一个命令行工具,它主要用于管理和操作密钥对(公钥和私钥)以及数字证书。在本文,我们将深入探讨KeyTool的基本用法、X.509证书的概念,以及如何使用KeyTool生成这种...
webpki:Rust的WebPKI X.509证书验证
02-05
X.509证书是PKI广泛采用的数字证书标准,它包含了公钥、标识信息(如域名)、以及由证书颁发机构(CA)签名的信息。在Web通信,浏览器会验证服务器提供的X.509证书,以确认服务器的身份和公钥的合法性。 webpki...
证书拓展域(1)
清涵
03-07 1487
列出了由颁发CA认可的证书策略,这些策略适用于证书以及关于这些证书策略的任选的限定符信息。证书策略拓展包含了一系列策略条目信息条目,每个条目都有一个oid和一个可选的限定条件。这个可选的限定条件不能改变策略的定义。qualifier 为枚举常量本只用于CA证书。它列出了一个多个OID对,每对包括一个issuerDomainPolicy和一个subjectDomaimPolicy。
各种扩展名的证书
huihui0819的专栏
08-24 1573
Certificates and Encodings At its core an X.509 certificate is a digital document that has been encoded and/or digitally signed according to RFC 5280. In fact, the term X.509 certificate usually ref
java 获取证书扩展_Java解析证书的例子(包括基本目、扩展目)
weixin_36278346的博客
02-16 678
import java.io.*; import org.bouncycastle.asn1.*; import org.bouncycastle.asn1.util.*; import org.bouncycastle.asn1.x509.*; import org.bouncycastle.util.encoders.*; public class CertManager { String...
PHP SSL Module "subjectAltNames"空字节处理安全绕过漏洞
weixin_30537451的博客
08-28 112
漏洞版本: PHP 5.3.27 PHP 5.4.17 PHP 5.5.1 漏洞描述: Bugtraq ID:61776 PHP是一种HTML内嵌式的脚本语言 PHP SSL模块不正确处理服务器SSL证书"subjectAltNames"通用名的空字节,允许攻击者利用漏洞进行间人攻击,获取敏感信息 <* 参考 http://www.secuni...
使用pyopenssl提取证书subjectAltName
村中少年的专栏
08-14 2489
本文介绍一下如何通过Python的pyopenssl模块解析证书的subjectAltName
总结证书扩展和证书分类
大力海棠的博客
01-27 2451
自签名证书 签发后的CA证书可以进行扩展,分为私有扩展和标准扩展,私有扩展针对的是自签名证书,即由用户自己签发的证书,而非CA机构签发的,一般浏览器也不会集成有字签名证书的根证书,所以访问这类网站时,浏览器会提示给证书是不安全的,可能是伪造的。当然用户也可以选择信任该证书,然后继续TLS/SSL的握手过程,完成握手后,TLS/SSL仍然提供数据加密等完整性保护。自签名证书通常是内部使用,或者用在...
x.509数字证书字段
09-06
X.509 数字证书是一种用于验证公钥拥有者身份的标准化格式。它包含了一系列字段,用于存储和传输与证书相关的信息。以下是一些常见的 X.509 数字证书字段: 1. 版本(Version):指定证书的版本号。 2. 序列号(Serial Number):每个证书都有一个唯一的序列号,用于标识该证书。 3. 签名算法(Signature Algorithm):指定用于生成证书签名的算法。 4. 颁发者(Issuer):指定颁发证书的实体。 5. 有效期(Validity):指定证书的有效期限,包括起始日期和截止日期。 6. 使用者(Subject):指定持有证书的实体。 7. 公钥信息(Public Key):包含用于加密和验证的公钥。 8. 扩展字段(Extensions):可选字段,用于存储额外的证书信息,如密钥用法、主体备用名称等。 9. 签名算法标识(Signature Algorithm Identifier):指定用于验证证书签名的算法。 10. 签名值(Signature Value):包含对证书内容进行签名后得到的值。 这些字段组合在一起形成了一个完整的 X.509 数字证书,用于在数字通信确保安全和身份验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值