X.509# 公钥证书的格式标准, 广泛用于TLS/SSL安全通信或者其他需要认证的环境中。X.509证书可以由# CA颁发,也可以自签名产生。

1 Overview {#1-overview}

X.509证书中主要含有公钥身份信息签名信息有效性信息等信息。这些信息用于构建一个验证公钥的体系,用来保证客户端得到的公钥正是它期望的公钥。

  1. 公钥 : 非对称密码中的公钥。公钥证书的目的就是为了在互联网上分发公钥。
  2. 身份信息 : 公钥对应的私钥持有者的信息,域名以及用途等。
  3. 签名信息 : 对公钥进行签名的信息,提供公钥的验证链。可以是CA的签名或者是自签名,不同之处在于CA证书的根证书大都内置于操作系统或者浏览器中,而自签名证书的公钥验证链则需要自己维护(手动导入到操作系统中或者再验证流程中单独提供自签名的根证书)。
  4. 有效性信息:证书的有效时间区间,以及# CRL等相关信息。

X.509证书的标准规范RFC5280中详细描述了证书的# 1.1 Encoding Format# 1.2 Structure

1.1 Encoding Format {#1-1-encoding-format}

  1. # DER格式 : 二进制格式。
  2. # PEM格式 : ASCII文本格式。在DER格式或者其他二进制数据的基础上,使用base64编码为ASCII文本,以便于在仅支持ASCII的环境中使用二进制的DER编码的数据

1.2 Structure {#1-2-structure}

一个具体的X.509 v3数字证书结构大致如下 :

Certificate

  Version Number

  Serial Number

  Signature Algorithm ID

  Issuer Name

  Validity period

  Not Before

  Not After

  Subject name

  Subject Public Key Info

  Public Key Algorithm

  Subject Public Key

  Issuer Unique Identifier (optional)

  Subject Unique Identifier (optional)

  Extensions (optional)

...

Certificate Signature Algorithm

Certificate Signature

2 File Extension {#2-file-extension}

X.509有很多种常用的扩展名。不过这些扩展名有时候也是其他类型文件的扩展名,也就是说具有这个扩展名的文件并不一定是X.509证书。也可能只是保存了私钥的文件。

  1. .pem : PEM格式。
  2. .key : PEM格式的私钥文件。
  3. .pub : PEM格式的公钥文件。
  4. .crt : PEM格式的# 公钥证书文件,也可能是DER。
  5. .cer : DER格式的# 公钥证书文件,也可能是PEM。
  6. .crs : PEM格式的# CSR文件,也可能是DER。

3 Reference {#reference}

3.1 公钥证书 {#public-key-certificate}

Public Key Certificate=公钥证书

参考资料 : https://en.wikipedia.org/wiki/Public_key_certificate

3.2 CA {#certificate-authority}

CA=Certificate Authority=证书颁发机构

参考资料 : https://en.wikipedia.org/wiki/Certificate_authority

3.3 DER {#distinguished-encoding-rules}

DER=Distinguished Encoding Rules# X.690标准中的一种二进制编码格式。

下面的文件是https://google.com所使用的DER编码的二进制公钥证书文件(由于是二进制,故而显示乱码)。

{{}}

参考资料 : https://en.wikipedia.org/wiki/X.690#DER_encoding

3.4 PEM {#privacy-enhanced-mail}

PEM=Privacy Enhanced Mail=隐私增强邮件

PEM是一种事实上的标准文件格式,采用base64来编码密钥或证书等其他二进制数据,以便在仅支持ASCII文本的环境中使用二进制数据。PEM在RFC7468中被正式标准化。具体格式如下:

-----BEGIN label 1-----

base64 string...

-----END label 1-----

-----BEGIN label 2-----

base64 string...

-----END label 2-----

其中label 1label 2可以有1~N个。常用的label有(https://tools.ietf.org/html/rfc7468#section-4):

  1. CERTIFICATE : 公钥证书文件 。
  2. CERTIFICATE REQUEST : CSR请求证书文件。
  3. PRIVATE KEY : 私钥文件。
  4. PUBLIC KEY : 公钥文件。
  5. X509 CRL : X509证书吊销列表文件。

下面的文件是上面的google.com.der.cer的PEM编码形式 :

{{}}

参考资料 :

  1. https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail
  2. https://tools.ietf.org/html/rfc7468

3.5 CSR {#certificate-signing-request}

CSR=Certificate Signing Request=证书签名请求

-----BEGIN CERTIFICATE REQUEST-----

MIIBWDCCAQcCAQAwTjELMAkGA1UEBhMCU0UxJzAlBgNVBAoTHlNpbW9uIEpvc2Vm

c3NvbiBEYXRha29uc3VsdCBBQjEWMBQGA1UEAxMNam9zZWZzc29uLm9yZzBOMBAG

ByqGSM49AgEGBSuBBAAhAzoABLLPSkuXY0l66MbxVJ3Mot5FCFuqQfn6dTs+9/CM

EOlSwVej77tj56kj9R/j9Q+LfysX8FO9I5p3oGIwYAYJKoZIhvcNAQkOMVMwUTAY

BgNVHREEETAPgg1qb3NlZnNzb24ub3JnMAwGA1UdEwEB/wQCMAAwDwYDVR0PAQH/

BAUDAwegADAWBgNVHSUBAf8EDDAKBggrBgEFBQcDATAKBggqhkjOPQQDAgM/ADA8

AhxBvfhxPFfbBbsE1NoFmCUczOFApEuQVUw3ZP69AhwWXk3dgSUsKnuwL5g/ftAY

dEQc8B8jAcnuOrfU

-----END CERTIFICATE REQUEST-----

参考资料 : https://en.wikipedia.org/wiki/Certificate_signing_request

3.6 CRL {#certificate-revocation-list}

CRL=Certificate Revocation List=证书吊销列表

-----BEGIN X509 CRL-----

MIIB9DCCAV8CAQEwCwYJKoZIhvcNAQEFMIIBCDEXMBUGA1UEChMOVmVyaVNpZ24s

IEluYy4xHzAdBgNVBAsTFlZlcmlTaWduIFRydXN0IE5ldHdvcmsxRjBEBgNVBAsT

PXd3dy52ZXJpc2lnbi5jb20vcmVwb3NpdG9yeS9SUEEgSW5jb3JwLiBieSBSZWYu

LExJQUIuTFREKGMpOTgxHjAcBgNVBAsTFVBlcnNvbmEgTm90IFZhbGlkYXRlZDEm

MCQGA1UECxMdRGlnaXRhbCBJRCBDbGFzcyAxIC0gTmV0c2NhcGUxGDAWBgNVBAMU

D1NpbW9uIEpvc2Vmc3NvbjEiMCAGCSqGSIb3DQEJARYTc2ltb25Aam9zZWZzc29u

Lm9yZxcNMDYxMjI3MDgwMjM0WhcNMDcwMjA3MDgwMjM1WjAjMCECEC4QNwPfRoWd

elUNpllhhTgXDTA2MTIyNzA4MDIzNFowCwYJKoZIhvcNAQEFA4GBAD0zX+J2hkcc

Nbrq1Dn5IKL8nXLgPGcHv1I/le1MNo9t1ohGQxB5HnFUkRPAY82fR6Epor4aHgVy

b+5y+neKN9Kn2mPF4iiun+a4o26CjJ0pArojCL1p8T0yyi9Xxvyc/ezaZ98HiIyP

c3DGMNR+oUmSjKZ0jIhAYmeLxaPHfQwR

-----END X509 CRL-----

参考资料 : https://en.wikipedia.org/wiki/Certificate_revocation_list

3.7 X.690 {#x690}

X.690是一个ITU-T标准,规定了几种ASN.1编码格式:

BER=Basic Encoding Rules : https://en.wikipedia.org/wiki/X.690#BER_encoding

CER=Canonical Encoding Rules : https://en.wikipedia.org/wiki/X.690#CER_encoding

DER=Distinguished Encoding Rules : https://en.wikipedia.org/wiki/X.690#DER_encoding

参考资料 : https://en.wikipedia.org/wiki/X.690

3.8 ASN.1 {#abstract-syntax-notation-1}

ASN.1=Abstract Syntax Notation 1=抽象标记语法1

参考资料 : https://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One

4 参考

本文首发于:https://linianhui.github.io/information-security/05-x.509/

[信息安全] 05 X.509 公钥证书的格式标准的更多相关文章

  1. SSL公钥证书传递进行隐匿传输数据

    title: 使用X.509公钥证书传递进行隐匿传输数据 date: 2018-02-11 17:47:50 tags: --- 使用X.509公钥证书传递进行隐匿传输数据 看到国外一篇有关于在ssl ...

  2. X.509 数字证书结构和实例

    http://www.cppblog.com/sleepwom/archive/2010/07/08/119746.html 一. X.509数字证书的编码 X.509证书的结构是用ASN1(Abst ...

  3. openssl数字证书常见格式与协议介绍

    原文地址:http://blog.csdn.net/anxuegang/article/details/6157927 证书主要的文件类型和协议有: PEM.DER.PFX.JKS.KDB.CER.K ...

  4. openssl数字证书常见格式 协议

    证书主要的文件类型和协议有: PEM.DER.PFX.JKS.KDB.CER.KEY.CSR.CRT.CRL .OCSP.SCEP等. PEM – Openssl使用 PEM(Privacy Enha ...

  5. C#RSA算法实现+如何将公钥为XML格式转为PEM格式,给object-C使用

    .net中,处于安全的考虑,RSACryptoServiceProvider类,解密时只有同时拥有公钥和私钥才可以.原因是公钥是公开的,会被多人持有.这样的数据传输是不安全的.C#RSA私钥加密,公钥 ...

  6. EMVTag系列10《发卡行公钥证书》

    Ø  90  发卡行公钥(IPK)证书 L: NCA -C(有条件):如果支持SDA,DDA CA认证过的发卡行公钥.用于脱机数据认证 Ø  9F32    发卡行公钥指数 L: 1 or 3 -C( ...

  7. EMVTag系列8《IC卡公钥证书》

    Ø  9F46    IC卡公钥证书 L: NI -C(有条件):如果支持DDA 发卡行认证过的IC 卡公钥 Ø  9F47    IC卡公钥指数 F: b T: 9F47 L: 1 or 3 C:如 ...

  8. 从PFX文件中获取私钥、公钥证书、公钥

    https://blog.csdn.net/ZuoYanYouYan/article/details/77868584 该类具体功能:根据pfx证书得到私钥.根据私钥字节数组获取私钥对象.根据公钥字节 ...

  9. C# .NET “公钥证书” (.cer .pem)转换为 RSACryptoServiceProvider 对象。导出“公钥”

    “公钥证书” .cer 文件是直接可以用X509Certificate2 对象来读取的,但 .cer 文件 不便于存储. “公钥证书” .pem 文件内容如下: -----BEGIN CERTIFIC ...

随机推荐

  1. maven中scope标签各个值的意义

    在使用maven配置时,有时候会见到scope这个标签,但是总是记不住他们所对应的含义,现在整理一下,以后忘记了再来查看. 版权声明:本文为CSDN博主「MrZhangBaby」的原创文章,遵循 CC ...

  2. 求一个数的阶乘在 m 进制下末尾 0 的个数

    题意 : 求一个数 n 的阶层在 m 进制下末尾 0 的个数 思路分析 : 如果是 10 进制地话我们是很容易知道怎么做的,数一下其对 5 约数地个数即可,但是换成 m 进制的话就需要先将 m 分解质 ...

  3. Oracle RAC服务器重启故障排查

    Oracle Real Application Clusters(Oracle RAC),相对于Oracle单实例来说部署安装和维护都增加了难度,尤其在日常的维护和故障处理过程中,各种日志的查看更加重 ...

  4. [Other]THUWC2020 游记

    Dec. 20th 一下飞机,\(\text{FJ}\) 选手感觉 \(\text{BJ}\) 好冷 下午去了鸟巢,晚上回 \(\text{GLHT}\) 酒店吃泡面 写了洛谷上的线段树分治模板题之后 ...

  5. [bzoj4942] [洛谷P3822] [NOI2017] 整数

    题目链接 https://www.luogu.org/problemnew/show/P3822 想法 这个啊,就是线段树哇 最初的想法是每位一个节点,然后进位.退位找这一位前面第一个0或第一个1,然 ...

  6. (转) exp1-1:// 一次有趣的XSS漏洞挖掘分析(1)

    from http://www.cnblogs.com/hookjoy/p/3503786.html 一次有趣的XSS漏洞挖掘分析(1)   最近认识了个新朋友,天天找我搞XSS.搞了三天,感觉这一套 ...

  7. python  获取网页图片 十月底的 一弹

    #!/usr/bin/pythonimport reimport urllib def getHtml(url):    page=urllib.urlopen(url)    html=page.r ...

  8. .net core 常见设计模式-IChangeToken

    场景 一个对象A,希望它的某些状态在发生改变时通知到B(或C.D),常见的做法是在A中定义一个事件(或直接用委托),当状态改变时A去触发这个事件.而B直接订阅这个事件 这种设计有点问题B由于要订阅A的 ...

  9. 字符串(String)的创建,以及字符串的属性及方法

    1.String对象的创建 方法1: var txt = new String("i am String"); console.log(txt); // 结果为:i am Stri ...

  10. Shell常用命令之主机检测(ping)

    主机检测命令ping 向网络主机发送ICMP回传请求 常用选项 -A:洪水攻击选项,启用此功能能在短时间之内发送大量的ping包 -b:开启ping网桥模式,默认不允许ping网桥 -c:设置发送多少 ...