509證書
Ⅰ x.509證書可應用於哪些安全程序
此信息用途很多。例如,如果某一證書被撤消,其序列號將放到證書撤消清單 (CRL) 中。
簽名演算法標識符
用於識別 CA 簽寫證書時所用的演算法。
簽發人姓名簽寫證書的實體的 X.500 名稱。它通常為一個 CA。 使用該證書意味著信任簽寫該證書的實體(注意:有些情況下(例如根或頂層 CA 證書),簽發人會簽寫自己的證書)。
有效期每個證書均只能在一個有限的時間段內有效。該有效期以起始日期和時間及終止日期和時間表示,可以短至幾秒或長至一世紀。所選有效期取決於許多因素,例如用於簽寫證書的私鑰的使用頻率及願為證書支付的金錢等。它是在沒有危及相關私鑰的條件下,實體可以依賴公鑰值的預計時間。
主體名證書可以識別其公鑰的實體名。此名稱使用 X.500 標准,因此在Internet中應是唯一的。它是實體的特徵名 (DN),例如,
CN=Java Duke,OU=Java Software Division,O=Sun Microsystems Inc,C=US
(這些指主體的通用名、組織單位、組織和國家)。
主體公鑰信息
這是被命名實體的公鑰,同時包括指定該密鑰所屬公鑰密碼系統的演算法標識符及所有相關的密鑰參數。
X.509 1 版自 1988 年起有售,已得到廣泛使用,是最常用的版本。
X.509 2 版引入了主體和簽發人唯一標識符的概念,以解決主體和/或簽發人名稱在一段時間後可能重復使用的問題。大多數證書監視文檔都極力建議不要重復使用主體或簽發人名稱,而且建議證書不要使用唯一標識符。版本 2 證書尚未得到廣泛使用。
X.509 3 版是最新的版本(1996 年)。它支持擴展的概念,因此任何人均可定義擴展並將其納入證書中。現在常用的擴展包括:KeyUsage(僅限密鑰用於特殊目的,例如「只簽」)和 AlternativeNames(允許其它標識與該公鑰關聯,例如 DNS 名、電子郵件地址、IP 地址)。擴展可標記為「極重要」,以表示應選中該擴展並強制執行或使用。例如,如果某一證書將 KeyUsage 擴展標記為「極重要」,而且設置為「keyCertSign」,則在 SSL 通信期間該證書出現時將被拒絕,因為該證書擴展表示相關私鑰應只用於簽寫證書,而不應該用於 SSL。
證書中的所有數據均用兩個名為 ASN.1/DER 的相關標准進行編碼。抽象語法注釋 1 (Abstract Syntax Notation 1) 對數據進行描述。確定性編碼規則 (DER) 描述儲存和傳輸數據的唯一方式。既有人稱這一組合「強大而靈活」,也有人稱之為「含混而笨拙」。
Ⅱ X.509 v3證書擴展項主要定義什麼內容
標准證書擴展
在X.509 v3證書擴展定義中提供為用戶或者公開密鑰和證書管理等級制度相結合的附
加屬性的方法。X.509 v3證書格式也允許社區(一個具體應用環境――譯者注)定義私有范
圍為那些社區攜帶所特有信息。在一張證書中的每一擴展可以是關鍵的或者非關鍵的。如果
遇到一項不能識別的關鍵擴展,那麼應用系統必須(MUST)拒絕接受此證書;但是,如果
不被認出的項是非關鍵擴展則可以被忽視。下面章節推薦在Internet證書和標准信息以內使
用擴展。然而社區可以選擇使用附加擴展(針對具體應用環境的自定義擴展――譯者注);
但是,應該謹慎採用在證書中的任何關鍵擴展,其可以阻礙在一般背景(證書比較普遍的應
用環境――譯者注)中的證書應用。
每一項擴展包含一OID和一ASN.1結構。當一擴展出現在一張證書中的時候,OID作
為欄位extnID和相應的ASN.1結構按照八位字元(octet string )extnValue的值編碼。僅一
特定擴展的事例可以出現在一張特定證書中。例如,一張證書可以含有僅一當局密鑰標識符
擴展(見4.2.1.1)。一擴展包含boolean類型關鍵值,預設值為FALSE。文本為每一擴展指
定可接受作為關鍵欄位的值。
CAs必須(MUST)支持密鑰標識符(見4.2.1.1和4.2.1.2)、基本約束(見4.2.1.10)、
密鑰應用(見4.2.1.3,)和證書策略(見4.2.1.5)擴展。如果CA頒發空序列主題證書,CA
必須(MUST)支持可選擇的名字擴展 (見4.2.1.7)。支持餘下的擴展是可選的。CAs可以
支持在本文說明以內不被識別的擴展標識符;提醒證書發行者把這樣的擴展標記關鍵可以抑
制雙方的共同操作。
最低限度,本文的應用必須(MUST)能夠識別在本文中必須或者可能的擴展。這些擴
展是:密鑰應用(見4.2.1.3)、證書策略(見4.2.1.5)、主題可替換名字(見4.2.1.7)、基本
約束(見4.2.1.10)、名字約束(見4.2.1.11)、策略約束(見4.2.1.12)和密鑰應用擴展(見
4.2.1.13)。
此外,本文推薦(RECOMMENDS)支持權威和主題密鑰標識符(見4.2.1.1和4.2.1.2)
的應用擴展。
4.2.1標准擴展
這部分介紹在Internet PKI應用中[X.509]定義的標准證書。[X.509] 定義中的每一擴展
和一OID聯系起來。這些OIDs 是id-arc的成員,定義如下:
譯者註:OID是OBJECT IDENTIFIER(對象標識符)的簡稱,其是國際性組織定義的全球
標準的對象定義,是一樹結構,id-arc是樹結構中ISO組織定義的一枝,感興趣的
讀者請閱讀相關文檔。
id-ce OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) 29}
4.2.1.1權威密鑰標識符
權威密鑰標識符擴展提供一識別出對使用私有密鑰在一張證書上簽名相對應的公開密
鑰的手段。這個擴展用於一個發行者有多個簽名密鑰(也由於多重同時發生的密鑰對或者由
於密鑰更換)。標識符可以建立在任一個密鑰標識符(在發行者的證書中的主題密鑰標識符)
或者有關發行者名字和序列號的基礎上。
authorityKeyIdentifier擴展的keyIdentifier欄位必須(MUST)是包含在所有的由CAs
遵照便於鏈條構建所產生的證書內。有一例外:一CA以一張"自我簽名"證書的形式分配它
的公開密鑰,權威密鑰標識符可以被刪掉。在這個情況中,主題和權威密鑰標識符將是完全
相同的(等價的)。
keyIdentifier欄位的值應該(SHOULD)從驗證證書簽名的公開密鑰或者產生唯一值的
方法中得到(keyIdentifier欄位的值產生演算法――譯者注)。兩個從公開密鑰產生密鑰標識符
的通用方法描述在4.2.1.2。一個產生唯一值的通用方法在4.2.1.2中描述。因為一個密鑰標
識符還沒有先前建立,本文推薦使用這些方法中的一種產生keyIdentifiers。
本文推薦(使用)經過所有的證書用戶支持密鑰標識符的演算法。
這擴展必須不(MUST NOT)要被標記為關鍵。
id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 35 }
AuthorityKeyIdentifier ::= SEQUENCE {
keyIdentifier [0] KeyIdentifier OPTIONAL,
authorityCertIssuer [1] GeneralNames OPTIONAL,
authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL }
Ⅲ X.509證書的證書簡介
除了簽名外,所有 X.509 證書還包含以下數據: 證書可以識別其公鑰的實體名。此名稱使用 X.500 標准,因此在Internet中應是唯一的。它是實體的特徵名 (DN),例如,
CN=Java Duke,OU=Java Software Division,O=Sun Microsystems Inc,C=US
(這些指主體的通用名、組織單位、組織和國家)。 這是被命名實體的公鑰,同時包括指定該密鑰所屬公鑰密碼系統的演算法標識符及所有相關的密鑰參數。
Ⅳ 微軟安全公告X.509證書
用windosws update 來下載補丁,點擊開始菜單在最頂上就能看這個選項
Ⅳ 如何生成以及導入x.509證書
創建私鑰
openssl genrsa -out root/root-key.pem 1024
//創建證書請求專
openssl req -new -out root/root-req.csr -key root/root-key.pem
//自簽署屬根證書
openssl x509 -req -in root/root-req.csr -out root/root-cert.pem -signkey root/root-key.pem -days 3650
//將根證書導出
Ⅵ x.509證書的信任機制
在基於公鑰的認證體系中,認證伺服器C A( C e r t if i c a t e A u t h o r i z a t io n) 是認證雙方都信賴的第三方,內 C A發布一個長效的公鑰容證書,當認證雙方從C A申請到證書後,就可以進行相互認證, 而不再需要C A的千預【 1 4 ].本文中認證服務層( A u t h e n 6 c a t io ns e r v i c eL a y e r) 充當了 可信賴方的角色,由 它發布x . 5 0 9公鑰證書。並在認證過程中結合兩階段提交的、動態更新的現時值來確保認證過程
的安全性和健壯性。
Ⅶ X.509的證書
在X.509系統中,CA簽發來的證書依照X.500的管源理,綁定了一個唯一甄別名(DN-Distinguished Name ),可以包含多個欄位和值,還可以支持別名(Alternative Name )。
一個組織受信任的根證書會分發給所有需要用到的PKI系統的員工手上。主流瀏覽器:IE、Netscape/Mozilla,Opera和Safari會預先安裝一部分根證書,這些根證書都是受信任的證書認證機構CA,這樣他們頒發的證書,瀏覽器將可以直接信任。雖然用戶可以刪除或者禁用這些根證書,但事實上,用戶很少這么做。在最新的微軟平台,甚至會在用戶移除了預先安置的根證書後,當用戶再訪問這些被刪除的根證書網站的時候,會自動將這些根證書恢復到信任列表中。
X.509包含了一個證書吊銷列表(CRL-Certificate Revocation List)實施的標准,這在PKI系統中經常被人所忽略。IETF提出的檢查證書有效性的方法是在線證書狀態(OCSP- Online Certificate Status Protocol)。Firefox3 預設就是使用OCSP協議。
Ⅷ X.509的證書示例
以下是一個頒發給login.yahoo的X.509證書解碼的案例,文件的實際大小大約是1KB。這個證書是由(已經被Verisign收購)簽發。所以在簽發者欄目中,可以看到「Equifax Secure Certificate Authority」 (這家已經被Geotrust收購,Geotrust所有的證書都由這個根證書簽發)。在使用者(Subject)中包含多條信息,不過最重要的是通用名(Common Name, CN),因為這個部分是用來和網站的域名相匹配的,同時也包含了RSA的公鑰以及Geotrust的簽名,所有的SSL證書都採用SHA1 HASH演算法計算特徵值。
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 368716 (0x5a04c)
Signature Algorithm: sha1WithRSAEncryption
Issuer:C=US,O=Equifax,
OU=Equifax Secure Certificate Authority
Validity
Not Before: Jan 4 17:09:06 2006 GMT
Not After : Jan 4 17:09:06 2011 GMT
Subject: C=US, ST=California, L=Santa Clara,
O=Yahoo! Inc., OU=Yahoo, CN=login.yahoo
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Molus (1024 bit):
00:b5:6c:4f:ee:ef:1b:04:5d:be:70:4a:d8:55:1d:
8a:77:0d:c1:45:00:f5:3b:1a:10:dd:d7:f7:bb:7a:
65:54:7f:60:d2:16:bb:bd:12:a5:78:78:d6:b3:50:
4e:ba:17:48:27:7a:22:6f:2a:7c:1d:a2:36:22:d8:
59:a2:ae:3a:0b:d4:d2:1b:8a:0e:5a:89:a9:e4:9a:
ff:db:3f:04:e2:9b:75:c1:8d:c5:8c:05:a1:f3:b5:
92:5e:a1:44:49:19:e4:90:b4:e9:ef:e4:5d:b2:20:
6d:f9:23:76:b8:b2:d4:af:a3:06:f5:9e:03:8f:b8:
82:05:21:11:25:44:3a:80:05
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Non Repudiation,
Key Encipherment,Data Encipherment
X509v3 Subject Key Identifier:
A0:1E:6E:0C:9B:6E:6A:EB:D2:AE:5A:4A:18:FF:0E:93:
46:1A:D6:32
X509v3 CRL Distribution Points:
URI:http://crl.geotrust/crls/secureca.crl
X509v3 Authority Key Identifier:
keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:
4F:33:98:90:9F:D4
X509v3 Extended Key Usage:
TLS Web Server Authentication,
TLS Web Client Authentication
50:25:65:10:43:e1:74:83:2f:8f:9c:9e:dc:74:64:4e:71:27:
4e:2a:6e:4a:12:7b:4c:41:2e:61:4a:11:0b:41:a6:b1:52:cb:
13:76:b6:45:e4:8d:d4:00:9a:3b:02:c7:82:29:01:a3:ee:7d:
f7:b9:02:88:9d:3e:c3:1c:e6:3d:d3:90:fc:9c:56:db:19:9d:
ab:a8:03:80:7d:c4:e2:c4:09:33:9e:58:5b:77:37:89:59:a3:
86:8e:a1:df:b3:bb:02:ed:21:62:fb:ba:c2:ba:e8:d4:8f:66:
c1:a5:5f:ad:f9:3f:cf:22:9b:17:57:a0:ca:28:c6:76:03:a4:
c4:e7
為了驗證這個證書,需要用這個證書簽發者的根證書(Geotrust的Equifax Secure Certificate Authority)。由於這個證書是用Geotrust的根證書的私鑰來簽名的,所以我們可以用Geotrust的公鑰來對證書的SHA1哈希值進行解碼,然後驗證解碼後的哈希值是否和證書的哈希值一致。以下是Geotrust根證書的樣例:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 903804111 (0x35def4cf)
Issuer:C=US,O=Equifax,
OU=Equifax Secure Certificate Authority
Validity
Not Before: Aug 22 16:41:51 1998 GMT
Not After : Aug 22 16:41:51 2018 GMT
Subject:C=US,O=Equifax,
OU=Equifax Secure Certificate Authority
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Molus (1024 bit):
00:c1:5d:b1:58:67:08:62:ee:a0:9a:2d:1f:08:6d:
91:14:68:98:0a:1e:fe:da:04:6f:13:84:62:21:c3:
d1:7c:ce:9f:05:e0:b8:01:f0:4e:34:ec:e2:8a:95:
04:64:ac:f1:6b:53:5f:05:b3:cb:67:80:bf:42:02:
8e:fe:dd:01:09:ec:e1:00:14:4f:fc:fb:f0:0c:dd:
43:ba:5b:2b:e1:1f:80:70:99:15:57:93:16:f1:0f:
97:6a:b7:c2:68:23:1c:cc:4d:59:30:ac:51:1e:3b:
af:2b:d6:ee:63:45:7b:c5:d9:5f:50:d2:e3:50:0f:
3a:88:e7:bf:14:fd:e0:c7:b9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 CRL Distribution Points:
DirName:/C=US/O=Equifax
/OU=Equifax Secure Certificate Authority/CN=CRL1
X509v3 Private Key Usage Period:
Not After: Aug 22 16:41:51 2018 GMT
X509v3 Key Usage:
Certificate Sign, CRL Sign
X509v3 Authority Key Identifier:
keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:
4F:33:98:90:9F:D4
X509v3 Subject Key Identifier:
48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:
98:90:9F:D4
X509v3 Basic Constraints:
CA:TRUE
1.2.840.113533.7.65.0:
0...V3.0c....
58:ce:29:ea:fc:f7:de:b5:ce:02:b9:17:b5:85:d1:b9:e3:e0:
95:cc:25:31:0d:00:a6:92:6e:7f:b6:92:63:9e:50:95:d1:9a:
6f:e4:11:de:63:85:6e:98:ee:a8:ff:5a:c8:d3:55:b2:66:71:
57:de:c0:21:eb:3d:2a:a7:23:49:01:04:86:42:7b:fc:ee:7f:
a2:16:52:b5:67:67:d3:40:db:3b:26:58:b2:28:77:3d:ae:14:
77:61:d6:fa:2a:66:27:a0:0d:fa:a7:73:5c:ea:70:f1:94:21:
65:44:5f:fa:fc:ef:29:68:a9:a2:87:79:ef:79:ef:4f:ac:07:
77:38
如果簽發證書的根證書,在瀏覽器的根信任列表中,瀏覽器就會主動識別該證書是安全的,反之,瀏覽器就會提出一個警告。GeoTrust的根證書已經被全球所有主要瀏覽器:Internet Explorer, Netscape ,Mozila ,Opera, Firefox, Safari安裝在預設的信任根證書列表中,GeoTrust簽發的證書被廣泛的信任和接受。
Ⅸ X_509 證書解析程序 C 或 C ++ 版的 急
我這里有剛剛做好的程序.LZ加我qq我給你傳.
147526
Ⅹ 一個標準的x.509數字證書包括哪些內容
X.509證書
X.509 標准規定了證書可以包含什麼信息,並說明了記錄信息的方法(數據格式)。除了簽名外,所有 X.509 證書還包含以下數據:
版本
識別用於該證書的 X.509 標準的版本,這可以影響證書中所能指定的信息。迄今為止,已定義的版本有三個。
序列號
發放證書的實體有責任為證書指定序列號,以使其區別於該實體發放的其它證書。此信息用途很多。例如,如果某一證書被撤消,其序列號將放到證書撤消清單 (CRL) 中。
簽名演算法標識符
用於識別 CA 簽寫證書時所用的演算法。
簽發人姓名
簽寫證書的實體的 X.500 名稱。它通常為一個 CA。 使用該證書意味著信任簽寫該證書的實體(注意:有些情況下(例如根或頂層 CA 證書),簽發人會簽寫自己的證書)。
有效期
每個證書均只能在一個有限的時間段內有效。該有效期以起始日期和時間及終止日期和時間表示,可以短至幾秒或長至一世紀。所選有效期取決於許多因素,例如用於簽寫證書的私鑰的使用頻率及願為證書支付的金錢等。它是在沒有危及相關私鑰的條件下,實體可以依賴公鑰值的預計時間。
主體名
證書可以識別其公鑰的實體名。此名稱使用 X.500 標准,因此在Internet中應是唯一的。它是實體的特徵名 (DN),例如,
CN=Java Duke,OU=Java Software Division,O=Sun Microsystems Inc,C=US
(這些指主體的通用名、組織單位、組織和國家)。
主體公鑰信息
這是被命名實體的公鑰,同時包括指定該密鑰所屬公鑰密碼系統的演算法標識符及所有相關的密鑰參數。
X.509 1 版自 1988 年起有售,已得到廣泛使用,是最常用的版本。
X.509 2 版引入了主體和簽發人唯一標識符的概念,以解決主體和/或簽發人名稱在一段時間後可能重復使用的問題。大多數證書監視文檔都極力建議不要重復使用主體或簽發人名稱,而且建議證書不要使用唯一標識符。版本 2 證書尚未得到廣泛使用。
X.509 3 版是最新的版本(1996 年)。它支持擴展的概念,因此任何人均可定義擴展並將其納入證書中。現在常用的擴展包括:KeyUsage(僅限密鑰用於特殊目的,例如「只簽」)和 AlternativeNames(允許其它標識與該公鑰關聯,例如 DNS 名、電子郵件地址、IP 地址)。擴展可標記為「極重要」,以表示應選中該擴展並強制執行或使用。例如,如果某一證書將 KeyUsage 擴展標記為「極重要」,而且設置為「keyCertSign」,則在 SSL 通信期間該證書出現時將被拒絕,因為該證書擴展表示相關私鑰應只用於簽寫證書,而不應該用於 SSL。
證書中的所有數據均用兩個名為 ASN.1/DER 的相關標准進行編碼。抽象語法注釋 1 (Abstract Syntax Notation 1) 對數據進行描述。確定性編碼規則 (DER) 描述儲存和傳輸數據的唯一方式。既有人稱這一組合「強大而靈活」,也有人稱之為「含混而笨拙」。
參考:網路