x509证书-crl证书吊销

已于 2023-05-11 20:52:19 修改
阅读量872 收藏 1
点赞数 1
分类专栏: x509证书 文章标签: 服务器 运维 系统安全
于 2023-05-11 17:16:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liudong200618/article/details/130623547
版权

标准

CRL fields

 -- 版本、时间、证书序列号和扩展名
-- 都是在4.1节的ASN.1中定义的
-- AlgorithmIdentifier 在第 4.1.1.2 节中定义
以下各项描述了 X.509 v2 CRL 在 Internet PKI 中的使用。

关于签名值和验证

signatureValue 字段包含根据 ASN.1 DER 编码的 tbsCertList 计算的数字签名。 ASN.1 DER 编码的 tbsCertList 用作签名函数的输入。 此签名值被编码为 BIT STRING 并包含在 CRL signatureValue 字段中。 [RFC3279]、[RFC4055] 和 [RFC4491] 中为每个受支持的算法指定了此过程的详细信息。 同时也是 CRL 颁发者的 CA 可以使用一个私钥对证书和 CRL 进行数字签名,或者可以使用单独的私钥对证书和 CRL 进行数字签名。 当使用单独的私钥时,与这些私钥关联的每个公钥都放在一个单独的证书中,一个在密钥使用扩展中设置了 keyCertSign 位,另一个在密钥使用扩展中设置了 cRLSign 位(第 4.2.1.3). 当使用单独的私钥时,CA 颁发的证书包含一个授权密钥标识符,而相应的 CRL 包含不同的授权密钥标识符。 使用单独的 CA 证书来验证证书签名和 CRL 签名可以提供改进的安全特性; 但是,它会给应用程序带来负担,并且可能会限制互操作性。 许多应用程序构建一个认证路径,然后验证该认证路径(第 6 节)。 CRL 检查反过来需要为 CA 的 CRL 签名验证证书构建和验证单独的证书路径。 当证书和 CRL 使用相同的 CA 私钥进行数字签名时,执行 CRL 检查的应用程序必须支持证书路径验证。 当证书和 CRL 使用不同的 CA 私钥进行数字签名时,这些应用程序应该支持证书路径验证

要签名的证书列表 Certificate List "To Be Signed"

要签名的证书列表或 TBSCertList 是一系列必填字段和可选字段。 必填字段标识 CRL 颁发者、用于签署 CRL 的算法以及 CRL 颁发的日期和时间。 可选字段包括 CRL 颁发者将颁发下一个 CRL 的日期和时间、已撤销证书的列表和 CRL 扩展。 撤销的证书列表是可选的,以支持 CA 尚未撤销其已颁发的任何未过期证书的情况。 此配置文件要求符合要求的 CRL 发布者在所有发布的 CRL 中包括 nextUpdate 字段和 CRL 编号和权威密钥标识符 CRL 扩展。

Reason Code
 

 reason值:  00 - 0a 

比如:

01  密钥泄露   keyCompromise

04 取代  superseded

 0a = 10 标识 ENUMERATED类型 

 

 

示例

有吊销列表的情况

 

没有吊销列表的情况

 

SofterICer
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x509证书吊销相关调研
卢舍那
12-25 1006
背景 在做一个区块链项目时,区块链底层平台采用PBFT共识,没有配置块的概念,fabric有配置块约定链的权限。当删除一个节点时由于证书还没有吊销,被删除节点还可以自己启动加入区块链网络,这里实现证书吊销十分有必要。 x509证书吊销 什么是证书吊销 证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书...
编程方式读取X.509证书吊销列表(CRL)(一)应用Bouncy Castle Crypto
weixin_30670925的博客
07-12 1429
X.509 结构的证书吊销后,序列号会出现在Certificate Revocation List (CRL) 中,我们可以将它另存为一个.crl的文件,就能够查看被吊销证书信息,但.NET Framework并没有提供可对Crl进行属性访问的类(Java中提供了X509Crl),要实现这样的功能,我们得借助.NET框架之外的技术:Bouncy Castle Crypto或者Mono SDK。...
java证书已撤销_如何检查X509证书是否已被Java吊销
weixin_36258720的博客
02-16 1099
小编典典每个CA都会发布已撤销的证书列表。此列表包括证书的序列号和吊销日期要获取证书吊销列表(CRL)的URL,请执行以下步骤打开证书转到“详细信息”选项卡,然后在详细信息列表中找到“ CRL分发点”字段它将向您显示诸如此类的价值[1] CRL分发点分发点名称:全名:URL = mscrl.microsoft.com / pki / mscorp / crl /msitwww2.crl URL =...
何为证书吊销列表CRL?
bytxl的专栏
01-28 3561
http://blog.163.com/liu_sheng_han/blog/static/190591372201202710340212/ 证书具有一个指定的寿命,但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL),列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书吊销的理由。它还可
编程方式读取X.509证书吊销列表(CRL)(二)应用Mono Security
weixin_30925411的博客
07-12 191
作为.NET的跨平台项目,Mono拓展了.NET cryptography框架中不足的地方,具体参见官方说明: http://www.mono-project.com/Cryptography 1. Mono的X.509 certificates类是100%使用托管代码实现的; 2. Mono推荐优先使用他们的Mono.Security.X509.*,并许诺以后有升级保障,可以支持一些加密工...
Go-加密学(七) - 证书吊销列表(CRL
xiangjai的专栏
06-16 1600
一、证书吊销列表(CRL) 二、证书吊销列表(CRL)与证书状态在线查询协议(OCSP) 三、证书吊销列表(CRL)的作用
JDK 解析 X.509证书CRL 示例代码
JoShua 的 水库
02-28 328
软件包 java.security.cert 提供用于解析和管理证书证书撤消列表 (CRL) 和证书路径的类和接口 以解析X.509证书为例: import java.security.cert.CRLException; import java.security.cert.CertificateException; import java.security.c...
拆解一份证书撤销列表CRL
yhl4k的博客
03-31 546
CRL(作废)证书 可以制作单个作废证书,也可以制作作废证书链; 1、版本号 V2 Version 2、签名算法OID Signature Algorithm Identifier 3、签发者 Issuer(各项名字的集合) 4、作废证...
证书吊销列表CRL解析工具(Java)
09-04
在IT安全领域,证书吊销列表(Certificate Revocation List,简称CRL)是验证数字证书有效性的重要机制。CRL证书颁发机构(Certification Authority,CA)发布,用于列出已经撤销但尚未到期的证书,以防这些被撤销...
证书CRL详解
05-01
详细介绍了证书CRL的各扩展释义,有助于加深对证书的了解
x509:Elixir软件包,用于处理X.509证书证书签名请求(CSR),证书吊销列表(CRL)和RSAECC密钥对
02-05
Elixir中的"x509"软件包是专门设计来处理这种证书及其相关组件的工具,包括证书签名请求(CSR)、证书吊销列表(CRL)以及RSA和ECC(椭圆曲线加密)密钥对。 首先,我们来深入理解X.509证书。X.509证书是包含公开...
django-x509:实现x509 PKI证书管理的可重用django应用
02-04
- **证书吊销通知**: 可以配置自动通知系统当证书接近过期或被撤销时。 - **Web界面**: 提供了一个用户友好的Web界面,用于查看、编辑和管理证书相关的操作。 - **API支持**: 提供RESTful API,便于与其他系统集成。...
java 解析证书吊销列表 crl
qq_44704799的博客
10-08 946
java 解析证书吊销列表 crl;CertificateFactory;CertificateFactory.generateCRL
数字证书X.509格式详解
最新发布
BiigPanda的博客
01-10 7055
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN.1语法进行编码。
X.509证书的使用
09-26 990
总结一下如何使用X.509证书来保护我们的设备的数据传输。 证书的签发 以下是证书签发的流程,为了更好的演示,我们需要分别创建两个根证书,并且用每个根证书来颁发一个客户端证书。这两个根证书分别为root_1.crt以及root_2.crt,对应的两个客户端证书分别为client_1.crt以及client_2.crt openssl genrsa -out rootkey.pem 2048 生成根证书的密匙 openssl req -x509 -new -key rootkey.pem -out
X509证书详解
热门推荐
weixin_38451161的博客
08-23 2万+
本文源于两篇英文文档,将其合二为一,翻译过程参考了网上的其它翻译以求更加准确,在此对这些翻译文档的作者表示感谢! 文中介绍的OpenSSL版本较老,与现有的版本有很多不符之处,但万变不离其宗,核心原理还是很有参考价值的。 1)证书 X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也有很多非在线的应用场景,比如电子签名服务。X.509证书含有公钥和标识(主机名、组织或个人),并由证书颁发机.
RFC2459 Internet X.509 公钥基础设施:证书CRL简介
Aking的专栏
05-05 4832
<br />组织:中国互动出版网(http://www.china-pub.com/) RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm) E-mail:ouyang@china-pub.com 译者:张海斌(netdebug internetdebug@elong.com ) 译文发布时间:2001-7-14 版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须 保留本文档的翻
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值