版权声明:本文根据DragonKing牛,E-Mail:wzhah@263.NET发布在https://openssl.126.com的系列文章整理修改而成(这个网站已经不能访问了),我自己所做的工作主要是针对新的1.0.2版本进行验证,修改错别字,和错误,重新排版,以及整理分类,配图。 未经作者允许,严禁用于商业出版,否则追究法律责任。网络转载请注明出处,这是对原创者的起码的尊重!!!
1 X509概述
提到X509就不得不提到X500协议族。如下:
- X.500 包括了DAP DSP DISP DOP, 是用于目录服务的一系列规范、协议,用于解决国际电话、电报互联互通、邮件发送时的人员查找、身份认证等问题。
- X.501 定义X.500协议族的数据模型
- X.509 现在广泛用于X.500目录服务之外,作为公钥证书的标准格式
- X.520 定义X.500协议族数据模型的attributes
- X.521定义X.500协议族数据模式的object class
X.509是国际标准化组织CCITT建议作为X.500目录检索的一部分提供安全目录检索服务。一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息一种非常通用的证书格式,所有的证书都符合X.509 国际标准。目前X.509有不同的版本,例如 X.509 V2和x.509 v3都是目前比较新的版本,2000年还推出V4版本,但是都在原有版本基础上进行功能的扩充,其中每一版本必须包含下列信息:
- Version ——X509的版本号
- Serial Number——证书序列号
- Signature algorithm ——签名所使用的算法,就是指的这个数字证书的对指纹进行签名时所使用的加密算法,这样就可以使用证书发布机构的证书里面的公钥,根据这个算法对签名进行解密。指纹(也叫hash值)摘要后再用私钥加密结果就是数字签名。
- Signature hash algorithm——签名哈希算法
- Issuer—— 证书的发布机构,指出是什么机构发布的这个证书,也就是指明这个证书是哪个公司创建的(只是创建证书,不是指证书的使用者)。
- Valid from , Valid to——证书的有效期,也就是证书的有效时间,或者说证书的使用期限。 过了有效期限,证书就会作废,不能使用了。
- Subject (主题)——这个证书是发布给谁的,或者说证书的所有者,一般是某个人或者某个公司名称、机构的名称、公司网站的网址等。
Country Name (2 letter code)[XX]:cn--------国家
State or Province Name (full name)[]:ning---------省份
Locality Name (eg, city) [DefaultCity]:ning--------------地区名字
Organization Name (eg, company)[Default Company Ltd]:ning------公司名
Organizational Unit Name (eg,section) []:ning-----部门
Common Name (eg, your name or yourserver's hostname) []:wukui----CA主机名
Email Address []:---------邮箱
Please enter the following 'ext