x509证书

最新推荐文章于 2022-07-30 00:04:16 发布
最新推荐文章于 2022-07-30 00:04:16 发布
阅读量3.2k 收藏
点赞数
分类专栏: 数字加密 数字安全 文章标签: x509 certificate rsa pkcs md5collision
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacode/article/details/8751356
版权

http://en.wikipedia.org/wiki/X.509

http://blog.csdn.net/wuzh1230/article/details/4240238

http://blog.csdn.net/wuzh1230/article/details/7211997


证书文件的编码

二进制编码 - DER

按照x509的ASN1定义的结构编码结果直接写入二进制文件。

    Certificate  ::=  SEQUENCE  {
        tbsCertificate       TBSCertificate,
        signatureAlgorithm   AlgorithmIdentifier,
        signatureValue       BIT STRING  }

    TBSCertificate  ::=  SEQUENCE  {
        version         [0]  EXPLICIT Version DEFAULT v1,
        serialNumber         CertificateSerialNumber,
        signature            AlgorithmIdentifier,
        issuer               Name,
        validity             Validity,
        subject              Name,
        subjectPublicKeyInfo SubjectPublicKeyInfo,
        issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                             -- If present, version MUST be v2 or v3
        subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
                             -- If present, version MUST be v2 or v3
        extensions      [3]  EXPLICIT Extensions OPTIONAL
                             -- If present, version MUST be v3
        }

    Version  ::=  INTEGER  {  v1(0), v2(1), v3(2)  }

    CertificateSerialNumber  ::=  INTEGER

    Validity ::= SEQUENCE {
        notBefore      Time,
        notAfter       Time }

    Time ::= CHOICE {
        utcTime        UTCTime,
        generalTime    GeneralizedTime }

    UniqueIdentifier  ::=  BIT STRING

    SubjectPublicKeyInfo  ::=  SEQUENCE  {
        algorithm            AlgorithmIdentifier,
        subjectPublicKey     BIT STRING  }

    Extensions  ::=  SEQUENCE SIZE (1..MAX) OF Extension

    Extension  ::=  SEQUENCE  {
        extnID      OBJECT IDENTIFIER,
        critical    BOOLEAN DEFAULT FALSE,
        extnValue   OCTET STRING
                    -- contains the DER encoding of an ASN.1 value
                    -- corresponding to the extension type identified
                    -- by extnID
        }
    AlgorithmIdentifier  ::=  SEQUENCE  {
        algorithm               OBJECT IDENTIFIER,
        parameters              ANY DEFINED BY algorithm OPTIONAL  
        }

如何提取tbs证书(how to extrace a tbsCertificate from a cert)

openssl asn1parse -in alicecert.pem -out tbsCert.der -noout -strparse 4

* 注意输入是pem编码的证书,输出是der编码的证书, 输出如下:

00000000  30 82 02 ba 02 09 00 f3  f9 32 df e4 8e ec 15 30  |0........2.....0|
00000010  0d 06 09 2a 86 48 86 f7  0d 01 01 0b 05 00 30 2b  |...*.H........0+|
00000020  31 29 30 27 06 09 2a 86  48 86 f7 0d 01 09 01 16  |1)0'..*.H.......|
00000030  1a 69 6d 61 6c 69 63 65  2e 66 72 65 65 6d 61 69  |.imalice.freemai|
00000040  6c 40 67 6d 61 69 6c 2e  63 6f 6d 30 1e 17 0d 31  |l@gmail.com0...1|
00000050  35 30 33 32 35 30 38 32  32 35 33 5a 17 0d 31 36  |50325082253Z..16|
00000060  30 33 32 34 30 38 32 32  35 33 5a 30 2b 31 29 30  |0324082253Z0+1)0|
00000070  27 06 09 2a 86 48 86 f7  0d 01 09 01 16 1a 69 6d  |'..*.H........im|
00000080  61 6c 69 63 65 2e 66 72  65 65 6d 61 69 6c 40 67  |alice.freemail@g|
00000090  6d 61 69 6c 2e 63 6f 6d  30 82 02 22 30 0d 06 09  |mail.com0.."0...|
000000a0  2a 86 48 86 f7 0d 01 01  01 05 00 03 82 02 0f 00  |*.H.............|
000000b0  30 82 02 0a 02 82 02 01  00 b0 7f 43 78 36 9c 0b  |0..........Cx6..|
000000c0  fe db 64 d1 36 0b 6b 98  61 6b 73 52 cc 3f ff f0  |..d.6.k.aksR.?..|
000000d0  35 6a 45 80 ef 5a 9d f8  1d 19 9f a6 b7 29 09 10  |5jE..Z.......)..|
000000e0  63 bb 9e 47 13 79 7e 10  a3 9c 68 1c fe 24 d1 41  |c..G.y~...h..$.A|
000000f0  47 1e b5 2c 30 c9 4e ab  cd 14 fc aa 9e 25 60 10  |G..,0.N......%`.|
00000100  dd b9 af 7d ca 71 23 b2  fc 16 f6 44 7b 01 d5 09  |...}.q#....D{...|
00000110  89 36 7a b3 61 3d c8 9a  bb 4d b7 64 c1 3d 09 40  |.6z.a=...M.d.=.@|
00000120  1a af 95 bd d2 f0 fc 8c  0f 93 e7 2d de 23 4d 86  |...........-.#M.|
00000130  d3 a5 a4 1b a4 6c 71 32  b5 34 0d b0 90 a4 aa c3  |.....lq2.4......|
00000140  75 51 69 58 0c a5 bd b1  a7 a3 8e 7c 2d 15 5b c1  |uQiX.......|-.[.|
00000150  19 70 5f 76 e5 91 12 42  01 00 63 8d ec 70 e5 60  |.p_v...B..c..p.`|
00000160  c6 ef 8a bf 81 ff 7b 55  4c 39 b1 33 ca 60 06 91  |......{UL9.3.`..|
00000170  58 5a 7d 5c 1c a7 e1 98  13 42 7c c9 de c8 4d 26  |XZ}\.....B|...M&|
00000180  a0 18 31 73 0a 65 f1 8b  8d 2b ad 2b a8 81 82 1f  |..1s.e...+.+....|
00000190  47 83 22 b4 9d 44 db 7f  84 5d 5b 02 c1 4e 7a 84  |G."..D...][..Nz.|
000001a0  a9 37 cd 5c 29 41 31 3c  15 19 40 0d d7 3a b9 4d  |.7.\)A1<..@..:.M|
000001b0  f4 7d a8 e0 07 9e 18 ab  26 a3 e7 ec 4d 9f 44 3f  |.}......&...M.D?|
000001c0  7f 0c 14 32 be 51 6d b1  36 7e bc 2d 5e 09 dc 22  |...2.Qm.6~.-^.."|
000001d0  f3 74 d2 0e 36 e8 f7 5e  0f b7 3c 44 39 41 f5 b8  |.t..6..^..<D9A..|
000001e0  28 74 c8 9e e9 5c a0 1f  31 26 91 bb e6 da 0f c0  |(t...\..1&......|
000001f0  a0 62 f6 ee f4 62 48 2d  4e 77 04 5c 4f 22 15 d3  |.b...bH-Nw.\O"..|
00000200  cc b6 bf 03 21 66 92 11  e0 ee f9 5a 34 e6 98 06  |....!f.....Z4...|
00000210  a8 53 5c e5 7c 2d 28 54  5b d9 59 f6 4d 60 54 32  |.S\.|-(T[.Y.M`T2|
00000220  78 29 37 82 3b 03 d2 59  39 81 66 74 30 ee 8f e1  |x)7.;..Y9.ft0...|
00000230  64 39 1a 7f c0 33 0f be  92 1a f6 75 87 24 ab 35  |d9...3.....u.$.5|
00000240  3c 24 00 16 2b c8 01 a1  56 24 8b 2b e8 f1 84 b6  |<$..+...V$.+....|
00000250  39 eb 27 4d ab 25 06 bd  f6 14 1b 20 45 88 d5 d3  |9.'M.%..... E...|
00000260  28 41 5c e5 af 75 0c 5f  bf 80 b6 8a d1 79 c7 cc  |(A\..u._.....y..|
00000270  96 74 3e 31 c4 e7 cb dd  cd 5f ec c7 2c e2 34 fd  |.t>1....._..,.4.|
00000280  41 30 3a 06 5a ea 06 0e  f3 23 0a c7 d8 bb ac 04  |A0:.Z....#......|
00000290  71 62 b3 d3 dc e0 d5 1c  69 6e 4c 3e 58 0b 18 d3  |qb......inL>X...|
000002a0  f3 55 8d ee 1d 47 89 8c  83 c6 1d 5c 12 9b ce 7a  |.U...G.....\...z|
000002b0  3b 43 4b 98 e3 0a ac fc  1f 02 03 01 00 01        |;CK...........|


还有个办法(alterlate way is use `dd' to pick tbsCertificate out of originate cert file)

dd if=alicecert.der of=alicecert.tbs.der bs=1 count=702 skip=4


文本编码 - PEM

通过base64编码DER证书的二进制内容以后,

前后附加

"-----BEGIN CERTIFICATE-----"

base64编码的证书内容

"-----END CERTIFICATE-----"

等字段保存为文本文件(Privacy Enhanced Mail)。


证书文件的后缀

  • .cer.crt,– usually in binary DER form, but Base64-encoded certificates are common too (see .pem above)
  • .pfx, predecessor of PKCS#12 (usually contains data in PKCS#12 format, e.g., with PFX files generated in IIS)


    当然有的时候,der和pem也可直接用作文件的后缀,直接表示这个证书的编码。


    x509证书格式定义

    ...

  • 一个典型的网站证书

    Certificate:
   Data:
       Version: 1 (0x0)
       Serial Number: 7829 (0x1e95)
       Signature Algorithm: md5WithRSAEncryption
       Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc,
               OU=Certification Services Division,
               CN=Thawte Server CA/emailAddress=server-certs@thawte.com
       Validity   
           Not Before: Jul  9 16:04:02 1998 GMT
           Not After : Jul  9 16:04:02 1999 GMT
       Subject: C=US, ST=Maryland, L=Pasadena, O=Brent Baccala,
                OU=FreeSoft, CN=www.freesoft.org/emailAddress=baccala@freesoft.org
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
           RSA Public Key: (1024 bit)
               Modulus (1024 bit):
                   00:b4:31:98:0a:c4:bc:62:c1:88:aa:dc:b0:c8:bb:
                   33:35:19:d5:0c:64:b9:3d:41:b2:96:fc:f3:31:e1:
                   66:36:d0:8e:56:12:44:ba:75:eb:e8:1c:9c:5b:66:
                   70:33:52:14:c9:ec:4f:91:51:70:39:de:53:85:17:
                   16:94:6e:ee:f4:d5:6f:d5:ca:b3:47:5e:1b:0c:7b:
                   c5:cc:2b:6b:c1:90:c3:16:31:0d:bf:7a:c7:47:77:
                   8f:a0:21:c7:4c:d0:16:65:00:c1:0f:d7:b8:80:e3:
                   d2:75:6b:c1:ea:9e:5c:5c:ea:7d:c1:a1:10:bc:b8:
                   e8:35:1c:9e:27:52:7e:41:8f
               Exponent: 65537 (0x10001)
   Signature Algorithm: md5WithRSAEncryption
       93:5f:8f:5f:c5:af:bf:0a:ab:a5:6d:fb:24:5f:b6:59:5d:9d:
       92:2e:4a:1b:8b:ac:7d:99:17:5d:cd:19:f6:ad:ef:63:2f:92:
       ab:2f:4b:cf:0a:13:90:ee:2c:0e:43:03:be:f6:ea:8e:9c:67:
       d0:a2:40:03:f7:ef:6a:15:09:79:a9:46:ed:b7:16:1b:41:72:
       0d:19:aa:ad:dd:9a:df:ab:97:50:65:f5:5e:85:a6:ef:19:d1:
       5a:de:9d:ea:63:cd:cb:cc:6d:5d:01:85:b5:6d:c8:f3:d9:f7:
       8f:0e:fc:ba:1f:34:e9:96:6e:6c:cf:f2:ef:9b:bf:de:b5:22:
       68:9f

    证书的验证


    自签名证书

    Certificate:
   Data:
       Version: 3 (0x2)
       Serial Number: 1 (0x1)
       Signature Algorithm: md5WithRSAEncryption
       Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc,
               OU=Certification Services Division,
               CN=Thawte Server CA/emailAddress=server-certs@thawte.com
       Validity
           Not Before: Aug  1 00:00:00 1996 GMT
           Not After : Dec 31 23:59:59 2020 GMT
       Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc,
                OU=Certification Services Division,
                CN=Thawte Server CA/emailAddress=server-certs@thawte.com
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
           RSA Public Key: (1024 bit)
               Modulus (1024 bit):
                   00:d3:a4:50:6e:c8:ff:56:6b:e6:cf:5d:b6:ea:0c:
                   68:75:47:a2:aa:c2:da:84:25:fc:a8:f4:47:51:da:
                   85:b5:20:74:94:86:1e:0f:75:c9:e9:08:61:f5:06:
                   6d:30:6e:15:19:02:e9:52:c0:62:db:4d:99:9e:e2:
                   6a:0c:44:38:cd:fe:be:e3:64:09:70:c5:fe:b1:6b:
                   29:b6:2f:49:c8:3b:d4:27:04:25:10:97:2f:e7:90:
                   6d:c0:28:42:99:d7:4c:43:de:c3:f5:21:6d:54:9f:
                   5d:c3:58:e1:c0:e4:d9:5b:b0:b8:dc:b4:7b:df:36:
                   3a:c2:b5:66:22:12:d6:87:0d
               Exponent: 65537 (0x10001)
       X509v3 extensions:
           X509v3 Basic Constraints: critical
               CA:TRUE
   Signature Algorithm: md5WithRSAEncryption
       07:fa:4c:69:5c:fb:95:cc:46:ee:85:83:4d:21:30:8e:ca:d9:
       a8:6f:49:1a:e6:da:51:e3:60:70:6c:84:61:11:a1:1a:c8:48:
       3e:59:43:7d:4f:95:3d:a1:8b:b7:0b:62:98:7a:75:8a:dd:88:
       4e:4e:9e:40:db:a8:cc:32:74:b9:6f:0d:c6:e3:b3:44:0b:d9:
       8a:6f:9a:29:9b:99:18:28:3b:d1:e3:40:28:9a:5a:3c:d5:b5:
       e7:20:1b:8b:ca:a4:ab:8d:e9:51:d9:e2:4c:2c:59:a9:da:b9:
       b2:75:1b:f6:42:f2:ef:c7:f2:18:f9:89:bc:a3:ff:8a:23:2e:
       70:47

    md5碰撞攻击

    ...

开心乐源
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X509证书解析C语言实现
06-17
1、完整的X509证书解析方案,C语言实现; 2、内含测试程序,在Linux环境下进入目录后make即可编译; 3、内含mbedtls开源库代码; 4、解析出证书的序列号、公钥; 5、漂亮的解析ASN1(TLV数据格式)算法及完整解析X509...
Python:Selenium错误小结
去向前方的博客
06-06 1854
前言 因为要使用web应用,所以开始用起了,Selenium包,安装倒是挺容易的,但就是出了很多bug。。 问题1 FileNotFoundError: [WinError 2] 系统找不到指定的文件。 通过错误反馈发现是要把该软件加到路径里面,但是,设置了系统环境变量后发现还是不行, 最后,使用了一个非常原始的方法: browser=webdriver.Chrome(“C:/...
could not read CA certificate的解决方法
Websites
12-24 9904
这篇文章忽略所有的概念, 我们直接切入主题: 安装过Docker Toolbox(Windows 7,Windows 8用这个), 所以Windows 10的话就不需要Docker Toolbox。 如果安装过Docker Toolbox,会出现类似如下错误: 没有发现CA凭证等。 “could not read CA certificate “C:\Users\username\.docker\...
X509证书详解
热门推荐
weixin_43408952的博客
05-11 2万+
X509证书全面解读
解决VScode报错提示证书未安装
G_inkk的博客
09-27 1498
解决VScode报错提示证书未安装 解决方法如下。 在vscode 下 进入 文件->首选项–>设置 在上面的搜索框输入 proxy,会出现 有3个相关设置项, 设置如下的选项 // 是否应根据提供的 CA 列表验证代理服务器证书。 “http.proxyStrictSSL”: true, //设置为false , 这时候会在右侧的自定义设置中增加一条 “http.proxyStrictSSL”: false 的键值对 重启 VScode ,然后在安装插件,会发现神奇的可以安装了。 转载于 添加
Electron 开发环境注意项、踩坑补坑记录
陆英彬 's blog
03-11 6048
** 从头配置 Electron ** git clone https://github.com/atom/electron-quick-start cd electron-quick-start cnpm install cnpm install electron-builder (必须要淘宝镜像下载打包依赖) "scripts": { "build": "electron-builder" }, ..........................................
C语言实现X509证书解析
02-22
本文将深入探讨如何使用C语言来实现X509证书的解析,提取其中的关键信息,如证书序列号和公钥。 首先,理解X509证书的结构至关重要。X509是一种标准格式,用于存储公开密钥和相关个人信息。证书通常包含以下几部分...
x509证书规范
03-01
This specification is one part of a family of standards for the X.509 Public Key Infrastructure (PKI) for the Internet. This specification profiles the format and semantics of certificates and ...
java生成X509证书jar包
04-14
X509证书是公钥基础设施(PKI)的一部分,用于验证服务器身份,确保数据传输的安全性。BouncyCastle库是一个强大的Java加密库,支持多种加密算法,包括国密算法,对于生成符合中国国家标准的X509证书非常有用。在这...
使用Python Openssl库解析X509证书信息
阿里武的技术博客
12-16 7681
X.509 证书结构描述 常见的X.509证书格式包括: 后缀 作用 cer/crt 用于存放证书,它是2进制形式存放的,不含私钥 pem 以Ascii来表示,可以用于存放证书或私钥。 pfx/p12 用于存放个人证书/私钥,他通常包含保护密码,2进制方式。 p10 证书请求 p7r CA对证书请求的回复,只用于导入 p7b 以树状展示证书链(certifica...
c语言写成的取x.509证书公钥
05-10
纯属上级考验,自己下的asn代码查看器,网上找的标准, 和x509证书编码规则
vc++生成x509证书
05-19
vc++生成x509证书到桌面,开荒写的代码有点乱,凑合着看吧。
j2me中解析.cer证书中遇到问题
GreenLearner的专栏
02-16 1727
我想在j2me环境下实现读取.cer证书文件。首先我.cer文件读入成byte[] cert,然后调用一下函数: public void ShowCert(byte[] cert) throws Exception {       ByteArrayInputStream bIn;       ASN1InputStream aIn;       bIn = new ByteArrayInputS
X509证书格式
OnlyLove_的博客
07-16 3298
X509证书格式整理
记录Electron常见问题
哈宝mz的博客
07-30 1101
学习electron时,遇到的一些常见问题和报错。
翻译:通过Java编程创建X.509格式的数字签名证书
xkjcf 丛飞 家·国·天下
12-13 2897
我所需要解决的问题很简单:创建一个只需要配置很少字段的X.509协议的证书,在使用已有的CA私钥/证书进行签名,最后导出为PKCS12格式的签名证书。把这个过程变得复杂化的原因是:我需要在一台小型设备(PDA)上,通过Java编程实现。
Windows10,Docker Desktop,“could not read CA certificate...”错误的解决办法
EahanZhang的博客
07-28 1429
错误:could not read CA certificate "C:\\Users\\username\\.docker\\machine\\machines\\default\\ca.pem": open C:\Users\username\.docker\machine\machines\default\ca.pem: The system cannot find the file sp...
常见证书格式和转换
雜貨鋪
03-12 1870
原文地址:http://longkm.blog.163.com/blog/static/116662640200972635221556/   PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有: PKCS#7 Crypto
数字证书结构
weixin_30686845的博客
11-08 288
附 录 A (资料性附录) 证书的结构 A.1 证书构成(见表B.1) 表B.1 证书结构 基本证书域(TBSCertificate) 签名算法域(signatureAlgorithm) 签名值域(signatureValue) ...
x509 证书 下载地址
最新发布
07-31
X509证书是一种公开密钥基础设施(PKI)中常用的数字证书标准,用于对数字身份进行验证和加密通信。X509证书通常用于HTTPS、电子邮件加密和数字签名等场景。 要下载X509证书,首先需要知道证书的颁发机构(CA)。常见的CA包括Verisign、Geotrust、Let's Encrypt等。这些CA通常都提供了网站或在线服务,供用户下载他们颁发的X509证书。 用户可以在这些CA的官方网站上寻找关于证书的下载地址。一般来说,这些网站会提供一个证书下载页面或者相关的下载链接。用户需要提供相关的证书信息,如证书的颁发者、证书的序列号等,以便能够正确下载到目标证书。 另外,用户还可以从其他可信的资源中获取X509证书下载地址。例如,在一些安全论坛、技术社区或者科技媒体上经常会有关于X509证书的讨论和推荐。用户可以参考这些资源,寻找可以信赖的证书颁发机构,并从他们的官方渠道下载证书。 总之,用户在下载X509证书时应找到合适的证书颁发机构的官方渠道,提供相关的证书信息,以保证证书的真实性和有效性。同时,用户也可以参考其他可信的资源,以获取更多的下载地址和信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值