509证书
Ⅰ x.509证书可应用于哪些安全程序
此信息用途很多。例如,如果某一证书被撤消,其序列号将放到证书撤消清单 (CRL) 中。
签名算法标识符
用于识别 CA 签写证书时所用的算法。
签发人姓名签写证书的实体的 X.500 名称。它通常为一个 CA。 使用该证书意味着信任签写该证书的实体(注意:有些情况下(例如根或顶层 CA 证书),签发人会签写自己的证书)。
有效期每个证书均只能在一个有限的时间段内有效。该有效期以起始日期和时间及终止日期和时间表示,可以短至几秒或长至一世纪。所选有效期取决于许多因素,例如用于签写证书的私钥的使用频率及愿为证书支付的金钱等。它是在没有危及相关私钥的条件下,实体可以依赖公钥值的预计时间。
主体名证书可以识别其公钥的实体名。此名称使用 X.500 标准,因此在Internet中应是唯一的。它是实体的特征名 (DN),例如,
CN=Java Duke,OU=Java Software Division,O=Sun Microsystems Inc,C=US
(这些指主体的通用名、组织单位、组织和国家)。
主体公钥信息
这是被命名实体的公钥,同时包括指定该密钥所属公钥密码系统的算法标识符及所有相关的密钥参数。
X.509 1 版自 1988 年起有售,已得到广泛使用,是最常用的版本。
X.509 2 版引入了主体和签发人唯一标识符的概念,以解决主体和/或签发人名称在一段时间后可能重复使用的问题。大多数证书监视文档都极力建议不要重复使用主体或签发人名称,而且建议证书不要使用唯一标识符。版本 2 证书尚未得到广泛使用。
X.509 3 版是最新的版本(1996 年)。它支持扩展的概念,因此任何人均可定义扩展并将其纳入证书中。现在常用的扩展包括:KeyUsage(仅限密钥用于特殊目的,例如“只签”)和 AlternativeNames(允许其它标识与该公钥关联,例如 DNS 名、电子邮件地址、IP 地址)。扩展可标记为“极重要”,以表示应选中该扩展并强制执行或使用。例如,如果某一证书将 KeyUsage 扩展标记为“极重要”,而且设置为“keyCertSign”,则在 SSL 通信期间该证书出现时将被拒绝,因为该证书扩展表示相关私钥应只用于签写证书,而不应该用于 SSL。
证书中的所有数据均用两个名为 ASN.1/DER 的相关标准进行编码。抽象语法注释 1 (Abstract Syntax Notation 1) 对数据进行描述。确定性编码规则 (DER) 描述储存和传输数据的唯一方式。既有人称这一组合“强大而灵活”,也有人称之为“含混而笨拙”。
Ⅱ X.509 v3证书扩展项主要定义什么内容
标准证书扩展
在X.509 v3证书扩展定义中提供为用户或者公开密钥和证书管理等级制度相结合的附
加属性的方法。X.509 v3证书格式也允许社区(一个具体应用环境――译者注)定义私有范
围为那些社区携带所特有信息。在一张证书中的每一扩展可以是关键的或者非关键的。如果
遇到一项不能识别的关键扩展,那么应用系统必须(MUST)拒绝接受此证书;但是,如果
不被认出的项是非关键扩展则可以被忽视。下面章节推荐在Internet证书和标准信息以内使
用扩展。然而社区可以选择使用附加扩展(针对具体应用环境的自定义扩展――译者注);
但是,应该谨慎采用在证书中的任何关键扩展,其可以阻碍在一般背景(证书比较普遍的应
用环境――译者注)中的证书应用。
每一项扩展包含一OID和一ASN.1结构。当一扩展出现在一张证书中的时候,OID作
为字段extnID和相应的ASN.1结构按照八位字符(octet string )extnValue的值编码。仅一
特定扩展的事例可以出现在一张特定证书中。例如,一张证书可以含有仅一当局密钥标识符
扩展(见4.2.1.1)。一扩展包含boolean类型关键值,缺省值为FALSE。文本为每一扩展指
定可接受作为关键字段的值。
CAs必须(MUST)支持密钥标识符(见4.2.1.1和4.2.1.2)、基本约束(见4.2.1.10)、
密钥应用(见4.2.1.3,)和证书策略(见4.2.1.5)扩展。如果CA颁发空序列主题证书,CA
必须(MUST)支持可选择的名字扩展 (见4.2.1.7)。支持余下的扩展是可选的。CAs可以
支持在本文说明以内不被识别的扩展标识符;提醒证书发行者把这样的扩展标记关键可以抑
制双方的共同操作。
最低限度,本文的应用必须(MUST)能够识别在本文中必须或者可能的扩展。这些扩
展是:密钥应用(见4.2.1.3)、证书策略(见4.2.1.5)、主题可替换名字(见4.2.1.7)、基本
约束(见4.2.1.10)、名字约束(见4.2.1.11)、策略约束(见4.2.1.12)和密钥应用扩展(见
4.2.1.13)。
此外,本文推荐(RECOMMENDS)支持权威和主题密钥标识符(见4.2.1.1和4.2.1.2)
的应用扩展。
4.2.1标准扩展
这部分介绍在Internet PKI应用中[X.509]定义的标准证书。[X.509] 定义中的每一扩展
和一OID联系起来。这些OIDs 是id-arc的成员,定义如下:
译者注:OID是OBJECT IDENTIFIER(对象标识符)的简称,其是国际性组织定义的全球
标准的对象定义,是一树结构,id-arc是树结构中ISO组织定义的一枝,感兴趣的
读者请阅读相关文档。
id-ce OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) 29}
4.2.1.1权威密钥标识符
权威密钥标识符扩展提供一识别出对使用私有密钥在一张证书上签名相对应的公开密
钥的手段。这个扩展用于一个发行者有多个签名密钥(也由于多重同时发生的密钥对或者由
于密钥更换)。标识符可以建立在任一个密钥标识符(在发行者的证书中的主题密钥标识符)
或者有关发行者名字和序列号的基础上。
authorityKeyIdentifier扩展的keyIdentifier字段必须(MUST)是包含在所有的由CAs
遵照便于链条构建所产生的证书内。有一例外:一CA以一张"自我签名"证书的形式分配它
的公开密钥,权威密钥标识符可以被删掉。在这个情况中,主题和权威密钥标识符将是完全
相同的(等价的)。
keyIdentifier字段的值应该(SHOULD)从验证证书签名的公开密钥或者产生唯一值的
方法中得到(keyIdentifier字段的值产生算法――译者注)。两个从公开密钥产生密钥标识符
的通用方法描述在4.2.1.2。一个产生唯一值的通用方法在4.2.1.2中描述。因为一个密钥标
识符还没有先前建立,本文推荐使用这些方法中的一种产生keyIdentifiers。
本文推荐(使用)经过所有的证书用户支持密钥标识符的算法。
这扩展必须不(MUST NOT)要被标记为关键。
id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 35 }
AuthorityKeyIdentifier ::= SEQUENCE {
keyIdentifier [0] KeyIdentifier OPTIONAL,
authorityCertIssuer [1] GeneralNames OPTIONAL,
authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL }
Ⅲ X.509证书的证书简介
除了签名外,所有 X.509 证书还包含以下数据: 证书可以识别其公钥的实体名。此名称使用 X.500 标准,因此在Internet中应是唯一的。它是实体的特征名 (DN),例如,
CN=Java Duke,OU=Java Software Division,O=Sun Microsystems Inc,C=US
(这些指主体的通用名、组织单位、组织和国家)。 这是被命名实体的公钥,同时包括指定该密钥所属公钥密码系统的算法标识符及所有相关的密钥参数。
Ⅳ 微软安全公告X.509证书
用windosws update 来下载补丁,点击开始菜单在最顶上就能看这个选项
Ⅳ 如何生成以及导入x.509证书
创建私钥
openssl genrsa -out root/root-key.pem 1024
//创建证书请求专
openssl req -new -out root/root-req.csr -key root/root-key.pem
//自签署属根证书
openssl x509 -req -in root/root-req.csr -out root/root-cert.pem -signkey root/root-key.pem -days 3650
//将根证书导出
Ⅵ x.509证书的信任机制
在基于公钥的认证体系中,认证服务器C A( C e r t if i c a t e A u t h o r i z a t io n) 是认证双方都信赖的第三方,内 C A发布一个长效的公钥容证书,当认证双方从C A申请到证书后,就可以进行相互认证, 而不再需要C A的千预【 1 4 ].本文中认证服务层( A u t h e n 6 c a t io ns e r v i c eL a y e r) 充当了 可信赖方的角色,由 它发布x . 5 0 9公钥证书。并在认证过程中结合两阶段提交的、动态更新的现时值来确保认证过程
的安全性和健壮性。
Ⅶ X.509的证书
在X.509系统中,CA签发来的证书依照X.500的管源理,绑定了一个唯一甄别名(DN-Distinguished Name ),可以包含多个字段和值,还可以支持别名(Alternative Name )。
一个组织受信任的根证书会分发给所有需要用到的PKI系统的员工手上。主流浏览器:IE、Netscape/Mozilla,Opera和Safari会预先安装一部分根证书,这些根证书都是受信任的证书认证机构CA,这样他们颁发的证书,浏览器将可以直接信任。虽然用户可以删除或者禁用这些根证书,但事实上,用户很少这么做。在最新的微软平台,甚至会在用户移除了预先安置的根证书后,当用户再访问这些被删除的根证书网站的时候,会自动将这些根证书恢复到信任列表中。
X.509包含了一个证书吊销列表(CRL-Certificate Revocation List)实施的标准,这在PKI系统中经常被人所忽略。IETF提出的检查证书有效性的方法是在线证书状态(OCSP- Online Certificate Status Protocol)。Firefox3 缺省就是使用OCSP协议。
Ⅷ X.509的证书示例
以下是一个颁发给login.yahoo的X.509证书解码的案例,文件的实际大小大约是1KB。这个证书是由(已经被Verisign收购)签发。所以在签发者栏目中,可以看到“Equifax Secure Certificate Authority” (这家已经被Geotrust收购,Geotrust所有的证书都由这个根证书签发)。在使用者(Subject)中包含多条信息,不过最重要的是通用名(Common Name, CN),因为这个部分是用来和网站的域名相匹配的,同时也包含了RSA的公钥以及Geotrust的签名,所有的SSL证书都采用SHA1 HASH算法计算特征值。
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 368716 (0x5a04c)
Signature Algorithm: sha1WithRSAEncryption
Issuer:C=US,O=Equifax,
OU=Equifax Secure Certificate Authority
Validity
Not Before: Jan 4 17:09:06 2006 GMT
Not After : Jan 4 17:09:06 2011 GMT
Subject: C=US, ST=California, L=Santa Clara,
O=Yahoo! Inc., OU=Yahoo, CN=login.yahoo
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Molus (1024 bit):
00:b5:6c:4f:ee:ef:1b:04:5d:be:70:4a:d8:55:1d:
8a:77:0d:c1:45:00:f5:3b:1a:10:dd:d7:f7:bb:7a:
65:54:7f:60:d2:16:bb:bd:12:a5:78:78:d6:b3:50:
4e:ba:17:48:27:7a:22:6f:2a:7c:1d:a2:36:22:d8:
59:a2:ae:3a:0b:d4:d2:1b:8a:0e:5a:89:a9:e4:9a:
ff:db:3f:04:e2:9b:75:c1:8d:c5:8c:05:a1:f3:b5:
92:5e:a1:44:49:19:e4:90:b4:e9:ef:e4:5d:b2:20:
6d:f9:23:76:b8:b2:d4:af:a3:06:f5:9e:03:8f:b8:
82:05:21:11:25:44:3a:80:05
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Non Repudiation,
Key Encipherment,Data Encipherment
X509v3 Subject Key Identifier:
A0:1E:6E:0C:9B:6E:6A:EB:D2:AE:5A:4A:18:FF:0E:93:
46:1A:D6:32
X509v3 CRL Distribution Points:
URI:http://crl.geotrust/crls/secureca.crl
X509v3 Authority Key Identifier:
keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:
4F:33:98:90:9F:D4
X509v3 Extended Key Usage:
TLS Web Server Authentication,
TLS Web Client Authentication
50:25:65:10:43:e1:74:83:2f:8f:9c:9e:dc:74:64:4e:71:27:
4e:2a:6e:4a:12:7b:4c:41:2e:61:4a:11:0b:41:a6:b1:52:cb:
13:76:b6:45:e4:8d:d4:00:9a:3b:02:c7:82:29:01:a3:ee:7d:
f7:b9:02:88:9d:3e:c3:1c:e6:3d:d3:90:fc:9c:56:db:19:9d:
ab:a8:03:80:7d:c4:e2:c4:09:33:9e:58:5b:77:37:89:59:a3:
86:8e:a1:df:b3:bb:02:ed:21:62:fb:ba:c2:ba:e8:d4:8f:66:
c1:a5:5f:ad:f9:3f:cf:22:9b:17:57:a0:ca:28:c6:76:03:a4:
c4:e7
为了验证这个证书,需要用这个证书签发者的根证书(Geotrust的Equifax Secure Certificate Authority)。由于这个证书是用Geotrust的根证书的私钥来签名的,所以我们可以用Geotrust的公钥来对证书的SHA1哈希值进行解码,然后验证解码后的哈希值是否和证书的哈希值一致。以下是Geotrust根证书的样例:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 903804111 (0x35def4cf)
Issuer:C=US,O=Equifax,
OU=Equifax Secure Certificate Authority
Validity
Not Before: Aug 22 16:41:51 1998 GMT
Not After : Aug 22 16:41:51 2018 GMT
Subject:C=US,O=Equifax,
OU=Equifax Secure Certificate Authority
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Molus (1024 bit):
00:c1:5d:b1:58:67:08:62:ee:a0:9a:2d:1f:08:6d:
91:14:68:98:0a:1e:fe:da:04:6f:13:84:62:21:c3:
d1:7c:ce:9f:05:e0:b8:01:f0:4e:34:ec:e2:8a:95:
04:64:ac:f1:6b:53:5f:05:b3:cb:67:80:bf:42:02:
8e:fe:dd:01:09:ec:e1:00:14:4f:fc:fb:f0:0c:dd:
43:ba:5b:2b:e1:1f:80:70:99:15:57:93:16:f1:0f:
97:6a:b7:c2:68:23:1c:cc:4d:59:30:ac:51:1e:3b:
af:2b:d6:ee:63:45:7b:c5:d9:5f:50:d2:e3:50:0f:
3a:88:e7:bf:14:fd:e0:c7:b9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 CRL Distribution Points:
DirName:/C=US/O=Equifax
/OU=Equifax Secure Certificate Authority/CN=CRL1
X509v3 Private Key Usage Period:
Not After: Aug 22 16:41:51 2018 GMT
X509v3 Key Usage:
Certificate Sign, CRL Sign
X509v3 Authority Key Identifier:
keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:
4F:33:98:90:9F:D4
X509v3 Subject Key Identifier:
48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:
98:90:9F:D4
X509v3 Basic Constraints:
CA:TRUE
1.2.840.113533.7.65.0:
0...V3.0c....
58:ce:29:ea:fc:f7:de:b5:ce:02:b9:17:b5:85:d1:b9:e3:e0:
95:cc:25:31:0d:00:a6:92:6e:7f:b6:92:63:9e:50:95:d1:9a:
6f:e4:11:de:63:85:6e:98:ee:a8:ff:5a:c8:d3:55:b2:66:71:
57:de:c0:21:eb:3d:2a:a7:23:49:01:04:86:42:7b:fc:ee:7f:
a2:16:52:b5:67:67:d3:40:db:3b:26:58:b2:28:77:3d:ae:14:
77:61:d6:fa:2a:66:27:a0:0d:fa:a7:73:5c:ea:70:f1:94:21:
65:44:5f:fa:fc:ef:29:68:a9:a2:87:79:ef:79:ef:4f:ac:07:
77:38
如果签发证书的根证书,在浏览器的根信任列表中,浏览器就会主动识别该证书是安全的,反之,浏览器就会提出一个警告。GeoTrust的根证书已经被全球所有主要浏览器:Internet Explorer, Netscape ,Mozila ,Opera, Firefox, Safari安装在缺省的信任根证书列表中,GeoTrust签发的证书被广泛的信任和接受。
Ⅸ X_509 证书解析程序 C 或 C ++ 版的 急
我这里有刚刚做好的程序.LZ加我qq我给你传.
147526
Ⅹ 一个标准的x.509数字证书包括哪些内容
X.509证书
X.509 标准规定了证书可以包含什么信息,并说明了记录信息的方法(数据格式)。除了签名外,所有 X.509 证书还包含以下数据:
版本
识别用于该证书的 X.509 标准的版本,这可以影响证书中所能指定的信息。迄今为止,已定义的版本有三个。
序列号
发放证书的实体有责任为证书指定序列号,以使其区别于该实体发放的其它证书。此信息用途很多。例如,如果某一证书被撤消,其序列号将放到证书撤消清单 (CRL) 中。
签名算法标识符
用于识别 CA 签写证书时所用的算法。
签发人姓名
签写证书的实体的 X.500 名称。它通常为一个 CA。 使用该证书意味着信任签写该证书的实体(注意:有些情况下(例如根或顶层 CA 证书),签发人会签写自己的证书)。
有效期
每个证书均只能在一个有限的时间段内有效。该有效期以起始日期和时间及终止日期和时间表示,可以短至几秒或长至一世纪。所选有效期取决于许多因素,例如用于签写证书的私钥的使用频率及愿为证书支付的金钱等。它是在没有危及相关私钥的条件下,实体可以依赖公钥值的预计时间。
主体名
证书可以识别其公钥的实体名。此名称使用 X.500 标准,因此在Internet中应是唯一的。它是实体的特征名 (DN),例如,
CN=Java Duke,OU=Java Software Division,O=Sun Microsystems Inc,C=US
(这些指主体的通用名、组织单位、组织和国家)。
主体公钥信息
这是被命名实体的公钥,同时包括指定该密钥所属公钥密码系统的算法标识符及所有相关的密钥参数。
X.509 1 版自 1988 年起有售,已得到广泛使用,是最常用的版本。
X.509 2 版引入了主体和签发人唯一标识符的概念,以解决主体和/或签发人名称在一段时间后可能重复使用的问题。大多数证书监视文档都极力建议不要重复使用主体或签发人名称,而且建议证书不要使用唯一标识符。版本 2 证书尚未得到广泛使用。
X.509 3 版是最新的版本(1996 年)。它支持扩展的概念,因此任何人均可定义扩展并将其纳入证书中。现在常用的扩展包括:KeyUsage(仅限密钥用于特殊目的,例如“只签”)和 AlternativeNames(允许其它标识与该公钥关联,例如 DNS 名、电子邮件地址、IP 地址)。扩展可标记为“极重要”,以表示应选中该扩展并强制执行或使用。例如,如果某一证书将 KeyUsage 扩展标记为“极重要”,而且设置为“keyCertSign”,则在 SSL 通信期间该证书出现时将被拒绝,因为该证书扩展表示相关私钥应只用于签写证书,而不应该用于 SSL。
证书中的所有数据均用两个名为 ASN.1/DER 的相关标准进行编码。抽象语法注释 1 (Abstract Syntax Notation 1) 对数据进行描述。确定性编码规则 (DER) 描述储存和传输数据的唯一方式。既有人称这一组合“强大而灵活”,也有人称之为“含混而笨拙”。
参考:网络