X.509X.509 原理说明及应用实例原理说明及应用实例分析分析分析 —— 1 0 计应 武栋华(1 0 3 8 9 0 6 8 ) 一、X.509 说明说明。。 1、X.509信息概要信息概要。。 X.509 是一种非常通用的证书格式,是由国际电联电信委员会(ITU-T)为单点登录(SSO-Single Sign-on)和授权管理基础设施(PMI-Privilege Management Infrastructure)制定的 PKI 标准。X.509定义了公钥证书、证书吊销清单、属性证书和证书路径验证算法等证书标准。 最初的版本 X.509 v1 是在 1988 年 7 月发布的,当时是作为 ITU X.500 目录服务标准的一部分。目前最新的版本是 X.509 3 版(1996 年发布)。 2、X.509证书结构证书结构。。 X.509 标准定义了证书中应该包含哪些信息,并描述了这些信息是如何编码的(即数据格式),所有的X.509 证书包含以下数据: (1)、X.509 版本号版本号:指出该证书使用了哪种版本的 X.509 标准,版本号会影响证书中的一些特定信息。 目前的版本是 3。 (2)、证书持有人的公钥证书持有人的公钥:包括证书持有人的公钥、算法(指明密钥属于哪种密码系统)的标识符和其 他相关的密钥参数。 (3)、证书的序列号证书的序列号:由 CA 给予每一个证书分配的唯一的数字型编号。 当证书被取消时,实际上是将此证书序列号放入由CA 签发的 CRL (Certificate Revocation List 证书作废表,或 证书黑 名 单表)中。 这也 是序列号唯一的原因 。 ((4)、主 题 信息主 题 信息:证书持有人唯一的标识符(或 称 DN-distinguished name)这个名 字在 Internet 上应 该是唯一的。DN 由许 多 部分组 成 ,例如这样 : CN = Bob Allen, OU = Total Network Security Division O = Network Associates, Inc. C = US 这些信息指出该科 目的通用名 、组 织 单位 、组 织 和国家 或 者 证书持有人的姓 名 、服 务处 所等信息。 ((5)、证书的有效 期证书的有效 期 ::证书起 始 日 期 和时间 以及终 止 日 期 和时间 ; 指明证书在这两 个时间 内 有效 。 (6)、认 证机 构认 证机 构:证书发布者 ,是签发该证书的实体 唯一的 CA 的 X.500 名 字。 使用该证书意 味 着 信任 签发证书的实体 。 (7)、发布者 的数字签名发布者 的数字签名 : 这是使用发布者 私 钥生 成 的签名 ,以确 保 这个证书在发放...
