X509v3数字证书的证书链

最新推荐文章于 2024-04-19 10:21:00 发布
最新推荐文章于 2024-04-19 10:21:00 发布
阅读量445 收藏 1
点赞数
文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30326609/article/details/129836016
版权
文章详细介绍了HTTPS证书链的工作原理,包括终端用户证书、中间证书和根证书的角色。关键字段如授权信息访问(AuthorityInfoAccess)在连接证书间的角色,以及序列号、颁发者、公钥参数等证书字段的含义。此外,还提到了证书的基本约束、密钥用法和证书指纹等相关概念。
摘要由CSDN通过智能技术生成

文章目录

证书链

实例

在Chrome上任意打开一个支持HTTPS的网站,例如 https://www.baidu.com/ ,打开开发者工具,点开Security栏
在这里插入图片描述

点开证书路径,查看证书信息如下:

在这里插入图片描述

我们继续探究baidu使用的HTTPS证书,除了HTTPS使用的 baidu.com 证书,向上还有两级证书,证书有3类:

  • end-user :baidu.com 包含用来加密传输数据的公钥的证书,是HTTPS中使用的证书
  • intermediates:CA用来认证公钥持有者身份的证书,即确认HTTPS使用的end-user证书是属于baidu.com的证书。这类intermediates证书甚至可以有很多级。
  • root:用来认证intermediates证书是合法证书的证书。

简单来说,end-user证书上面几级证书都是为了保证end-user证书未被篡改,保证是CA签发的合法证书,进而保证end-user证书中的公钥未被篡改。

两个证书相连的关键

拓展字段:Authority Info Access ,即下图的:授权中心信息访问权限
在这里插入图片描述
这是一个拓展字段,本身有两种方式提供上一级证书的地址,在解析证书链时,需要去这些uri上下载上一级的证书。

我们输入CA证书颁发者中的地址,下载后得到如下的证书文件。
在这里插入图片描述
并且也包含了拓展字段:Authority Info Access , 依次递归向上找到整个证书链。

证书字段汇总

  • 序列号
    序列号用于标识唯一一张证书,其值由CA选择,CA只要选择他们觉得合适的值就好。

  • 颁发者(链接)

    • CN: CommonName
    • OU: OrganizationalUnit
    • O: Organization
    • L: Locality
    • S: StateOrProvinceName,有些地方使用的是ST
    • C: CountryName
      在这里插入图片描述

  • 使用时间
    在这里插入图片描述

  • 使用者
    在这里插入图片描述

  • 公钥

  • 公钥参数

“公钥参数”字段的最重要用途是在ECDSA证书中。如果是RSA,就是null。
在这里插入图片描述

  • 授权信息访问 Authority Info Access (链接)

    • 如何获取此证书的颁发者的信息(CA颁发者访问方法)
    • 可以从中检查此证书吊销的OCSP响应者的地址(OCSP访问方法)

    在这里插入图片描述

  • 证书策略
    在这里插入图片描述

  • 基本约束 (链接)
    基本约束是X.509证书v3扩展。此扩展描述证书是CA证书还是最终实体证书。路径长度约束仅适用于CA证书。上一级开始算0。
    在这里插入图片描述

  • CRL分发点

  • 使用者可选名称 就是SAN啦

  • 增强型密钥用法 就是指证书的密钥可以用来做什么。
    在这里插入图片描述

  • 密钥用法 就是指证书的密钥可以用来做什么。(和上面差不多)
    在这里插入图片描述

  • 授权密钥表示符 & 使用者密钥标识符
    使用者密钥标识符( subject key identifier)和颁发机构密钥标识符( authority key identifier) 扩展分别建立了唯一的使用者和颁发机构标识符。证书的颁发机构密钥标识符扩展的信息必须与 颁发者的使用者密钥标识符扩展里面的信息一致。这些信息在证书链路径建立过程中相当有用 ,客户端会试图从分支(服务器)证书开始,寻找到根证书所有可能的路径。证书机构经常一个私 钥对应多个证书,而这个字段允许软件可以非常可靠地让证书和密钥对应起来。
    在这里插入图片描述

  • SCT列表 与证书透明度有关

  • 指纹 证书的指纹

参考文献

参考文献:https://docs.microsoft.com/zh-cn/windows/uwp/security/certificates

Tang World
关注
数字证书X.509格式详解
BiigPanda的博客
01-10 7939
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN.1语法进行编码。
X509V3数字证书介绍
Xiang_Cheung的博客
08-25 5181
目录参考目的约定文章思路脑图数字证书基础定义用途工作原理数字签名摘要算法基础非对称密钥基础组成数字签名示例数字签名部分数字证书部分文件编码格式如何改变文本的样式插入接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowcha...
证书(The Certificate Chains)
Luke
02-04 1218
  名词解释 写道 DN (Distinguished Name) 标识名, 包含一些指定实体身份的字段 ,如通用名,组织等等CSR(Certificate Signing Request)数字证书签名请求 其中包含了你的公钥和DN三级证书 是指用户的SSL证书是在"受信任的根证书颁发机构"下的"中级证书颁发机构"下颁发的证书,请注意,这里的级别是指证书路径的级数(Level),要与证书的身份...
【SM2证书】利用BC的X509v3CertificateBuilder组装X509国密证书
小帅丶的专栏
06-25 7219
SM2、SM4加解密 SM2 SM3 签名验签代码部分开源在gitee&github https://github.com/xiaoshuaishuai319/algorithmNation   证书文件 接: https://pan.baidu.com/s/1ijHNnMQJj7jzW-jXEVd6Gg 密码: vfva 所需jar包 <!-- https:/...
证书证书X509证书
冯Jungle的个人博客
04-03 1760
一、证书证书 (1)lkunhung转载的博客: 什么是证书 (2)junwua的博客系列: 证书证书 证书证书(二) 证书证书(三) (3)简书博客 关于证书的一点认知 (4)一篇英文博客 What is the SSL Certificate Chain? 二、证书格式 (1)X509证书结构及解析 X509证书结构及解析 (2)ASN.1 A...
X.509 V3证书的签发与验证
11-21 3666
X509 V3基于BouncyCastle的生成方式,其中的一些小坑,以及利用openssl的证书验证方式。
Java基于BC生成X509v3证书,以及部分扩展Extension的使用
liweiliang0108的专栏
07-09 4288
转载请注明出处 https://blog.csdn.net/liweiliang0108/article/details/95191931 直接正题 先来几张图片 使用的BC库 这是个接bcprov-1.60 这还是个接bcpkix-1.60 代码下载地址 这是代码下载地址 已集成的扩展信息 BasicConstraints、CRLDIstPoi...
X.509数字证书
04-09
**X.509数字证书详解** X.509是一种国际标准,定义了公钥证书的格式,用于在开放的网络环境中验证身份。这个标准由国际电信联盟电信标准部门(ITU-T)的X系列建议制定,编号为X.509。X.509证书是网络安全体系中的...
X509证书基本概念
marylgao技术专栏
04-10 9555
编码格式 x509证书主要有2种编码格式,一种是DER格式,另一种是PEM格式。 1. DER格式 二进制格式。der类型的不用在编码解码,直接就是二进制的数据可以直接使用 2.PEM格式 PEM格式数据要根据base64编码解码后,得到的数据需要进行增加或裁剪特殊字符-、\n、\r、begin信息、end信息等。 下面一个例子就是PEM格式的私钥文件, 以-----BEGIN PRIVATE KEY----开头, 以-----END PRIVATE KEY-----结尾。 -----BEGIN PRIV
X509V3数字证书和加密算法
hstjbj的博客
06-23 2429
数字证书和加密算法数字证书定义用途X509V3证书格式加密算法分类摘要算法对称算法有哪些?DES算法AES-128算法非对称算法有哪些?用途对称密钥和非对称密钥的区别和优缺点?对称密钥和非对称密钥的优缺点对称密钥:非对称密钥: 数字证书 定义 数字证书 是一个由证书颁发中心数字签名的包括* 公钥密钥 * 拥有者信息以及公开密钥的文件,类似于身份证,身份证上面有持卡人的身份信息如地址,头像,有效期等,并且身份证一般由政府相关部门颁发。无论是计算机世界的数字证书还是现实生活的身份证,其主要目的都是用来鉴别个体
利用BC的X509v3CertificateBuilder组装X509证书
沙舟狼客
04-07 3498
// 设置开始日期和结束日期 long year = 360 * 24 * 60 * 60 * 1000; Date notBefore = new Date(); Date notAfter = new Date(notBefore.getTime() + year); // 设置颁发者和主题 String issuerString = "CN=root,OU=
启动应用程序出现mprmsg.dll找不到问题解决
最新发布
wbcmbfy的博客
04-19 1015
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态接库,这时你可以下载这个mprmsg.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现mprmsg.dll丢失要怎么解决?
X509证书详解
热门推荐
weixin_38451161的博客
08-23 2万+
本文源于两篇英文文档,将其合二为一,翻译过程参考了网上的其它翻译以求更加准确,在此对这些翻译文档的作者表示感谢! 文中介绍的OpenSSL版本较老,与现有的版本有很多不符之处,但万变不离其宗,核心原理还是很有参考价值的。 1)证书 X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也有很多非在线的应用场景,比如电子签名服务。X.509证书含有公钥和标识(主机名、组织或个人),并由证书颁发机.
Openssl X509 v3 AuthorityKeyIdentifier实验与逻辑分析
11-15 1135
Openssl是X509的事实标准,目前主流OS或个别安全性要求较高的设计场景,对X509证书验证已经不在停留在只从数字签名校验了,也就是仅仅从公钥验签的角度,在这些场景中,往往还会校验AuthorityKeyIdentifier和SubjectKeyIdentifier的一致性,也即下级证书AuthorityKeyIdentifier应该与上级证书的SubjectKeyIdentifier一致,这两个参数是X509 v3 extensions的范围。以上各种情况,均可以通过以下命令验证通过。
让我们一起读一张证书吧!
Sunny_Ducky的博客
05-18 1889
读一张百度的证书。 序列号 序列号用于标识唯一一张证书,其值由CA选择,CA只要选择他们觉得合适的值就好。 颁发者(接) CN: CommonName OU: OrganizationalUnit O: Organization L: Locality S: StateOrProvinceName C: CountryName 使用时间 使用者 公钥 公钥参数 “公钥参数”字段的最重要用途是在ECDSA证书中。如果是RSA,就是null。 授权信息访问 Authority Info Ac.
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 3570
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
ROS OpenSSL X509 证书构建及自定义验证
Lin__Mu的博客
03-22 2836
在WSL-Ubuntu20.04 基于 ROS、OpenSSL、C++实现X509证书构建、发送接收及验证。本实验重庆大学国家卓越工程师学院实验。本人经验尚浅,如本文有任何错误或改进之处欢迎各位留言!😉如果觉得不错的话,可以✨一下吗?
X.509数字证书标准详解与应用
"数字证书X509" 数字证书X.509是一种基于公钥基础设施(PKI)的身份验证机制,用于确认网络上的实体身份。X.509标准由国际电信联盟(ITU-T)制定,最早在1988年发布,后续经过修订,目前的主流版本是X.509v3。该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值