SKID(证书使用者密钥标识符,subject key identifier 的简称)和 AKID(证书颁发机构密钥标识符,authority key identifier 的简称)是 X509 证书中常见的扩展字段。

下图是一张典型的证书文件(test.der),其中就包含 SKID 和 AKID 字段。

它们是做什么用的?简言之,这两个字段用于(通过 subject 和 issuer)快速区分证书。

数字证书使用已经很广泛,理论上多本证书可能具有相同的 subject name,该如何区分这种情况?

技术控很容易想到,就用公钥来分辨吧,因为每个自然生成的公钥,都是独一无二的。

但是,问题又来了:普通公钥都是一串又长又难记的二进制字符串,让人来识别比较,是个很费劲的事。

既然又长又难记,能否找一个简单易记的方法?

最终,聪明的人说,那就用 subject 公钥的摘要吧。

因此在证书结构中,增加一个 SKID 字段,其内容就是公钥内容的摘要结果。

根据摘要(理论上)的唯一性,SKID 段可以唯一确定证书的公钥,从而确定一本证书。

当然,确定证书的正确性仍是基本前提,所以证书链校验这个动作还是要做的。

下面用实际操作进行说明

一、找到公钥在文件中的位置

D:\>openssl asn1parse -in test.der -inform der -dump -i

  ......

  186:d=2  hl=3 l= 159 cons:   SEQUENCE

  189:d=3  hl=2 l=  13 cons:    SEQUENCE

  191:d=4  hl=2 l=   9 prim:     OBJECT            :rsaEncryption

  202:d=4  hl=2 l=   0 prim:     NULL

  :d=3  hl=3 l= 141 prim:    BIT STRING -- 偏移从  + hl =  开始

      0000 -  30 81 89 02 81 81 00-c1 af 95 f6 ae d0 21 7b   .0............!{

      0010 - 31 f3 93 68 18 ac 8f e6-53 83 99 cd 80 3d 9a d2   1..h....S....=..

      0020 - 9b 6a fa 08 1b 8b b7 1b-90 5e a1 82 18 c1 3f b0   .j.......^....?.

      0030 - 3f f2 3b 06 5b be e4 7a-b7 c2 36 9e 22 36 1e 60   ?.;.[..z..6."6.`

      0040 - b8 04 b7 f8 9e 25 e7 e3-f0 91 b2 7e 24 c4 c8 41   .....%.....~$..A

      0050 - 27 58 e6 0d 73 d6 f2 4d-12 bc 1b 77 4d 1f ca f1   'X..s..M...wM...

      0060 - 73 99 f3 8f 44 a0 fa 8f-e1 e9 99 e1 b0 ea 6d e1   s...D.........m.

      0070 - db 4d 27 45 40 c9 23 c1-c7 5e 27 ef e8 54 6c c2   .M'E@.#..^'..Tl.

      0080 - cd 02 41 91 bd 1c be fb-02 03 01 00 01            ..A..........

  ......

  409:d=4  hl=2 l=  29 cons:     SEQUENCE

  411:d=5  hl=2 l=   3 prim:      OBJECT            :X509v3 Subject Key Identifier

  416:d=5  hl=2 l=  22 prim:      OCTET STRING -- TLV 格式,蓝色部分是 SKID 的 Vlaue

      0000 - 04 14 53 bb 46 ae de 70-07 86 22 dd 7f 5c e2 49   ..S.F..p.."..\.I

      0010 - 1d 65 b8 f7 36 13                                 .e..6.

下图是更为详细的说明(图中黄色背景中去掉第一个0x00字节的部分)

二、提取公钥内容 -- 文件中的偏移是从 207 开始,长 141 字节,实际内容(ASN1 结构)需要向后偏移一个 0x00 字节

D:\>dd if=test.der bs=1 count= skip= of=skid iflag=binary oflag=binary

三、做 SHA1 摘要

D:\>openssl dgst -sha1 skid

SHA1(skid)= 53bb46aede70078622dd7f5ce2491d65b8f73613

与上图中显示的“使用者密钥标识符”相同

除了 SKID 外,还有 AKID,该字段唯一确定了(颁发当前证书的)证书颁发机构证书(即 CA 证书)的公钥。

AKID 的值也是证书颁发机构证书的公钥的摘要结果。感兴趣的同学可以验证下。

此外,由证书链的存在,可以推断,当前证书的 AKID 应该等于证书颁发机构证书的 SKID(如果存在此字段的话)。

OpenSSL 使用拾遗(二)---- X509 证书的 SKID/AKID 字段的更多相关文章

  1. openssl解析国密X509证书

    openssl解析国密X509证书,把公钥拿出来重写一下就行了        x = strToX509(pbCert, pulCertLen);dwRet = getCertPubKey(x, &a ...

  2. 通过OpenSSL解码X509证书文件

    在Windows平台下.假设要解析一个X509证书文件,最直接的办法是使用微软的CryptoAPI. 可是在非Windows平台下,就仅仅能使用强大的开源跨平台库OpenSSL了.一个X509证书通过 ...

  3. 通过OpenSSL解析X509证书基本项

    在之前的文章"通过OpenSSL解码X509证书文件"里.讲述了怎样使用OpenSSL将证书文件解码,得到证书上下文结构体X509的方法. 以下我们接着讲述怎样通过证书上下文结构体 ...

  4. 【openssl】利用openssl完成X509证书和PFX证书之间的互转

    利用openssl完成X509证书和PFX证书之间的互转 # OpenSSL的下载与安装: 1.下载地址: 官方网址—— https://www.openssl.org/source/ OpenSSL ...

  5. openssl rsa加密,解密以及X509证书的使用

    Openssl的相关使用 生成证书 生成证书见:使用 openssl 生成证书 代码实现 Cert.h #ifndef _CERT_H #define _CERT_H ///header files ...

  6. 用Keytool和OpenSSL生成和签发数字证书

    一)keytool生成私钥文件(.key)和签名请求文件(.csr),openssl签发数字证书      J2SDK在目录%JAVA_HOME%/bin提供了密钥库管理工具Keytool,用于管理密 ...

  7. 使用OpenSSL工具制作X.509证书的方法及其注意事项总结

    版权声明:本文为博主原创文章.转载请注明出处. https://blog.csdn.net/Ping_Fani07/article/details/21622545 怎样使用OpenSSL工具生成根证 ...

  8. [转贴]使用CryptoAPI解析X509证书和P12证书

    原文在 http://bbs.pediy.com/archive/index.php?t-97663.html,但是觉得这篇文章非常好,我抄下来作我笔记用 一.解析X509证书 1.从磁盘上的证书文件 ...

  9. x509证书相关内容

    什么是证书 X.509证书,其核心是根据RFC 5280编码或数字签名的数字文档.    实际上,术语X.509证书通常指的是IETF的PKIX证书和X.509 v3证书标准的CRL 文件,即如RFC ...

随机推荐

  1. ORACLE迁移votedisk,spfile以及OCRfile的方法

    在安装GUI时,创建了第一块ASM磁盘,命名为DATA1,上面存放了spfile文件,ocrfile文件,并且作为了vote盘.感觉名字和实际不符,容易搞混,所以想删除这个磁盘,直接删除会报错: OR ...

  2. java对国际化的支持

    国际化的英文为Internationalization,这个也太长了,所以它又称为I18n(英文单词 internationalization的首末字符i和n,18为中间的字符数). 除了i18n还有 ...

  3. lua实现私有函数

    本文是原创文章,如需转载,请注明文章出处 要用lua实现私有函数,关键就是使用metatable的特性来实现. Test.lua: local v = {};v.x = 100;v.y = 200; ...

  4. BIND的进程一:DNS简单配置与的主从配置

    DNS的简单配置和DNS的主从配置   摘要:DNS(Domain-Name Server) ,DNS的服务起到的作用就是名称解析,在网络通讯来说计算机与计算机是通过IP地址相互通信的, 当是IP地址 ...

  5. Java中Sting类型对象内容不可改变

    String拥有一个特殊点叫:String对象的内容不可改变!   在调用诸如String对象的replace()等方法时,不是在原Sting对象的基础上改变对象内容,而是创建了一个新的String对 ...

  6. Android应用中MVP开发模式

    所谓MVP(Model-View-Presenter)模式.是将APP的结构分为三层: view - UI显示层 view 层主要负责: 提供UI交互 在presenter的控制下修改UI. 将业务事 ...

  7. 51nod1265 四点共面

    题目链接:51nod 1265 四点共面 四个点构成的三个向量a,b,c共面的充要条件是存在不全为零的实数x,y,z满足x*a+y*b+z*c=0,然后想到线代了.. 其实就是三个向量的混合积为0:( ...

  8. composer 一些使用说明

    1 使用订制的包 配置 "repositories": [ { "type": "path", "url": " ...

  9. mongodb-索引

    说明:创建索引时,列名:int 中的int数字指的是正序或者倒序,如果是1表明是正序,-1表示倒序 1.查询collection上的索引 db.users.getIndexes() 2.查询当前的db ...

  10. EF6 CodeFirst+Repository+Ninject+MVC4+EasyUI实践(四)

    前言 这一篇,我们终于到了讲解Entity Framework CodeFirst 的时刻了,首先创建实体对象模型,然后会通过配置Fluent API的方式来对实体对象模型进行完整的数据库映射操作. ...