2. 程式人生 > >[資訊保安] 05 X.509 公鑰證書的格式標準

[資訊保安] 05 X.509 公鑰證書的格式標準

阿新 發佈:2020-02-17

X.509是# 公鑰證書的格式標準, 廣泛用於TLS/SSL安全通訊或者其他需要認證的環境中。X.509證書可以由# CA頒發,也可以自簽名產生。

1 Overview {#1-overview}

X.509證書中主要含有公鑰身份資訊簽名信息有效性資訊等資訊。這些資訊用於構建一個驗證公鑰的體系,用來保證客戶端得到的公鑰正是它期望的公鑰。

  1. 公鑰 : 非對稱密碼中的公鑰。公鑰證書的目的就是為了在網際網路上分發公鑰。
  2. 身份資訊 : 公鑰對應的私鑰持有者的資訊,域名以及用途等。
  3. 簽名信息 : 對公鑰進行簽名的資訊,提供公鑰的驗證鏈。可以是CA的簽名或者是自簽名,不同之處在於CA證書的根證書大都內置於作業系統或者瀏覽器中,而自簽名證書的公鑰驗證鏈則需要自己維護(手動匯入到作業系統中或者再驗證流程中單獨提供自簽名的根證書)。
  4. 有效性資訊:證書的有效時間區間,以及# CRL等相關資訊。

X.509證書的標準規範RFC5280中詳細描述了證書的# 1.1 Encoding Format和# 1.2 Structure。

1.1 Encoding Format {#1-1-encoding-format}

  1. # DER格式 : 二進位制格式。
  2. # PEM格式 : ASCII文字格式。在DER格式或者其他二進位制資料的基礎上,使用base64編碼為ASCII文字,以便於在僅支援ASCII的環境中使用二進位制的DER編碼的資料

1.2 Structure {#1-2-structure}

一個具體的X.509 v3數字證書結構大致如下 :

Certificate
  Version Number
  Serial Number
  Signature Algorithm ID
  Issuer Name
  Validity period
  Not Before
  Not After
  Subject name
  Subject Public Key Info
  Public Key Algorithm
  Subject Public Key
  Issuer Unique Identifier (optional)
  Subject Unique Identifier (optional)
  Extensions (optional)
...
Certificate Signature Algorithm
Certificate Signature

2 File Extension {#2-file-extension}

X.509有很多種常用的副檔名。不過這些副檔名有時候也是其他型別檔案的副檔名,也就是說具有這個副檔名的檔案並不一定是X.509證書。也可能只是儲存了私鑰的檔案。

  1. .pem : PEM格式。
  2. .key : PEM格式的私鑰檔案。
  3. .pub : PEM格式的公鑰檔案。
  4. .crt : PEM格式的# 公鑰證書檔案,也可能是DER。
  5. .cer : DER格式的# 公鑰證書檔案,也可能是PEM。
  6. .crs : PEM格式的# CSR檔案,也可能是DER。

3 Reference {#reference}

3.1 公鑰證書 {#public-key-certificate}

Public Key Certificate=公鑰證書

參考資料 : https://en.wikipedia.org/wiki/Public_key_certificate

3.2 CA {#certificate-authority}

CA=Certificate Authority=證書頒發機構

參考資料 : https://en.wikipedia.org/wiki/Certificate_authority

3.3 DER {#distinguished-encoding-rules}

DER=Distinguished Encoding Rules是# X.690標準中的一種二進位制編碼格式。

下面的檔案是https://google.com所使用的DER編碼的二進位制公鑰證書檔案(由於是二進位制,故而顯示亂碼)。
{{}}

參考資料 : https://en.wikipedia.org/wiki/X.690#DER_encoding。

3.4 PEM {#privacy-enhanced-mail}

PEM=Privacy Enhanced Mail=隱私增強郵件

PEM是一種事實上的標準檔案格式,採用base64來編碼金鑰或證書等其他二進位制資料,以便在僅支援ASCII文字的環境中使用二進位制資料。PEM在RFC7468中被正式標準化。具體格式如下:

-----BEGIN label 1-----
base64 string...
-----END label 1-----
-----BEGIN label 2-----
base64 string...
-----END label 2-----

其中label 1label 2可以有1~N個。常用的label有(https://tools.ietf.org/html/rfc7468#section-4):

  1. CERTIFICATE : 公鑰證書檔案 。
  2. CERTIFICATE REQUEST : CSR請求證書檔案。
  3. PRIVATE KEY : 私鑰檔案。
  4. PUBLIC KEY : 公鑰檔案。
  5. X509 CRL : X509證書吊銷列表檔案。

下面的檔案是上面的google.com.der.cer的PEM編碼形式 :
{{}}

參考資料 :

  1. https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail
  2. https://tools.ietf.org/html/rfc7468

3.5 CSR {#certificate-signing-request}

CSR=Certificate Signing Request=證書籤名請求

-----BEGIN CERTIFICATE REQUEST-----
MIIBWDCCAQcCAQAwTjELMAkGA1UEBhMCU0UxJzAlBgNVBAoTHlNpbW9uIEpvc2Vm
c3NvbiBEYXRha29uc3VsdCBBQjEWMBQGA1UEAxMNam9zZWZzc29uLm9yZzBOMBAG
ByqGSM49AgEGBSuBBAAhAzoABLLPSkuXY0l66MbxVJ3Mot5FCFuqQfn6dTs+9/CM
EOlSwVej77tj56kj9R/j9Q+LfysX8FO9I5p3oGIwYAYJKoZIhvcNAQkOMVMwUTAY
BgNVHREEETAPgg1qb3NlZnNzb24ub3JnMAwGA1UdEwEB/wQCMAAwDwYDVR0PAQH/
BAUDAwegADAWBgNVHSUBAf8EDDAKBggrBgEFBQcDATAKBggqhkjOPQQDAgM/ADA8
AhxBvfhxPFfbBbsE1NoFmCUczOFApEuQVUw3ZP69AhwWXk3dgSUsKnuwL5g/ftAY
dEQc8B8jAcnuOrfU
-----END CERTIFICATE REQUEST-----

參考資料 : https://en.wikipedia.org/wiki/Certificate_signing_request

3.6 CRL {#certificate-revocation-list}

CRL=Certificate Revocation List=證書吊銷列表

-----BEGIN X509 CRL-----
MIIB9DCCAV8CAQEwCwYJKoZIhvcNAQEFMIIBCDEXMBUGA1UEChMOVmVyaVNpZ24s
IEluYy4xHzAdBgNVBAsTFlZlcmlTaWduIFRydXN0IE5ldHdvcmsxRjBEBgNVBAsT
PXd3dy52ZXJpc2lnbi5jb20vcmVwb3NpdG9yeS9SUEEgSW5jb3JwLiBieSBSZWYu
LExJQUIuTFREKGMpOTgxHjAcBgNVBAsTFVBlcnNvbmEgTm90IFZhbGlkYXRlZDEm
MCQGA1UECxMdRGlnaXRhbCBJRCBDbGFzcyAxIC0gTmV0c2NhcGUxGDAWBgNVBAMU
D1NpbW9uIEpvc2Vmc3NvbjEiMCAGCSqGSIb3DQEJARYTc2ltb25Aam9zZWZzc29u
Lm9yZxcNMDYxMjI3MDgwMjM0WhcNMDcwMjA3MDgwMjM1WjAjMCECEC4QNwPfRoWd
elUNpllhhTgXDTA2MTIyNzA4MDIzNFowCwYJKoZIhvcNAQEFA4GBAD0zX+J2hkcc
Nbrq1Dn5IKL8nXLgPGcHv1I/le1MNo9t1ohGQxB5HnFUkRPAY82fR6Epor4aHgVy
b+5y+neKN9Kn2mPF4iiun+a4o26CjJ0pArojCL1p8T0yyi9Xxvyc/ezaZ98HiIyP
c3DGMNR+oUmSjKZ0jIhAYmeLxaPHfQwR
-----END X509 CRL-----

參考資料 : https://en.wikipedia.org/wiki/Certificate_revocation_list

3.7 X.690 {#x690}

X.690是一個ITU-T標準,規定了幾種ASN.1編碼格式:

BER=Basic Encoding Rules : https://en.wikipedia.org/wiki/X.690#BER_encoding
CER=Canonical Encoding Rules : https://en.wikipedia.org/wiki/X.690#CER_encoding
DER=Distinguished Encoding Rules : https://en.wikipedia.org/wiki/X.690#DER_encoding

參考資料 : https://en.wikipedia.org/wiki/X.690

3.8 ASN.1 {#abstract-syntax-notation-1}

ASN.1=Abstract Syntax Notation 1=抽象標記語法1

參考資料 : https://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One

4 參考

本文首發於:https://linianhui.github.io/information-security/05-x.5

相關推薦

[資訊保安] 05 X.509 證書格式標準

X.509是# 公鑰證書的格式標準, 廣泛用於TLS/SSL安全通訊或者其他需要認證的環境中。X.509證書可以由# CA頒發,也可以自簽名產生。 1 Overview {#1-overview} X.509證書中主要含有公鑰、身份資訊、簽名信息和有效性資訊等資訊。這些資訊用於構建一個驗證公鑰的體系,用來保證

nodejs 如何通過API 證書(權威CA頒發)下載敏感資訊加密證書

在服務商平臺的API介面中,有部分介面在傳參時,需要對引數中的敏感資訊進行RSA加密(如:小微商戶申請入駐、小微商戶修改結算資訊等)。在這些介面的引數加密說明中,是這樣註明的: 加密方法詳見敏感資訊加密方法說明(該md檔案中的變數PUBLIC_KEY_FILENAM

軟實現非對稱加解密,證書值區別,包含提取公約值程式碼

目前有部分未採購簽名驗籤伺服器的企業,採用軟實現做非對稱、對稱加解密,本文簡略說明一下工作過程中遇到的問題。 本交易涉及傳送方,接收方 問題背景: 對方即接收方採用的是軟實現,並且只提供了公鑰值(未經CA簽發) 我方即傳送方,採用的是硬體簽名驗籤服務。伺服器中存有我方的私鑰,

證書cer,pfx

Windows下常見兩種證書,字尾為.cer的通常存放公鑰,字尾為.pfx的通常存放私鑰。有時候想看一下其中內容到底是什麼,又不想寫程式,這個時候OpenSSL的命令列工具就很有用了。 .cer格式比較好處理,它就是一個x509證書,openssl直接可以處理,只需要執行

安全體系(零)—— 加解密演算法、訊息摘要、訊息認證技術、數字簽名與證書

鋒影 email:[email protected] 如果你認為本系列文章對你有所幫助,請大家有錢的捧個錢場,點選此處贊助,贊助額0.1元起步,多少隨意 本文講解對稱加密、非對稱加密、訊息摘要、MAC、數字簽名、公鑰證書的用途、不足和解決的問題。 0.概

小王的尷尬日常(一)--使用RSA證書解密

最近接了一個活,要用rsa的公鑰解密,這個公鑰儲存在公鑰證書裡面,這個公鑰證書呢… 安裝在了windows作業系統裡。以下是講解部分,如果不想看的直接跳躍到最末尾的程式碼部分。 公鑰–>公鑰證書–>公鑰證書庫(Windows) 我要是使用它呢,就

從PFX檔案中獲取私證書

該類具體功能:根據pfx證書得到私鑰、根據私鑰位元組陣列獲取私鑰物件、根據公鑰位元組陣列獲取公鑰、根據pfx證書獲取證書物件,根據私鑰、公鑰證書、密碼生成pkcs12,根據私鑰、公鑰證書、金鑰,合成為pfx檔案,依賴工具包:commons-io import

OPENSSL生成自籤證書和私

generate key 建立EC引數和私鑰檔案 openssl ecparam -genkey -name prime256v1 -out attestation_key.pem 檢視EC私鑰檔案 cat attestation_key.pem 檢視

資訊保安等級保護三級系統基線要求判分標準之應用安全

條款理解可參考:https://wenku.baidu.com/view/26c447385727a5e9856a618a.html 原文連結:https://www.cnblogs.com/xiaozi/p/5912009.html   針對等級保護三級系統的防護要求,對於應用安全涉及的“身

RSA私檔案格式 (pkcs#7, pkcs#8, pkcs#12, pem)

Format Name Description PKCS #7 Cryptographic Message Syntax Standard A PKCS #7 file can be used to store certificates, which is a Signed

那些證書相關的玩意兒(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)

tool style pre 工具 apach 時也 pen x.509 查看 轉自:http://www.cnblogs.com/guogangj/p/4118605.html 之前沒接觸過證書加密的話,對證書相關的這些概念真是感覺挺棘手的,因為一下子來了一大堆新名

JAVA代碼-數字證書公私生成-cer ,私jks, pfx格式

else generator actor issue 自己 bytearray 私鑰 公私鑰 throws import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStre

蘋果證書加密

調試 git 開發證書 真機 sign 密鑰 csdn ios開發證書 spa 今天看了點關於公私鑰加密的內容,趕快記下省的忘記了。 這裏有幾個概念:公鑰,私鑰,加密,認證,認證中心(CA),數字證書。 公鑰和私鑰是屬於非對稱性加密,公鑰和私鑰是完全不同的,但是相互對應的。

證書服務---學習筆記(預習)

公鑰與證書服務一·PKI技術PKI:是一種新的安全技術 二·PKI組成: (1) 公鑰密碼技術:不同的非對稱密碼學,具有兩個密鑰,一個是公鑰一個是私鑰,它們具有這種性質:用公鑰加密的文件只能用私鑰解密,而私鑰加密的文件只能用公鑰解密。公鑰顧名思義是公開的,所有的人都可以得到它;私鑰也顧名思義是私有的,不應被其

使用keytool生成、私證書並且讀取出來,使用私簽名jar並驗證(轉)

工具 crypto upload () 結構 清單文件 style too ref 參考鏈接:http://happyqing.iteye.com/blog/2139504     :https://blog.csdn.net/arjelarxfc/article/det

加密,認證疑難名詞總結----RSA, ,私,CA,數字簽名,數字證書

成功 digital 出現 直觀 證明 col 文件簽名 nat blog 在網絡和操作系統安全通信中經常涉及到這幾個名詞: RSA, 公鑰,私鑰,CA,數字簽名,數字證書。我找了很多資料,很少有把疑難點講全面的。但不講清楚這幾個,很難有一個清晰的認識和理解。我現在也嘗試這

(轉載)我理解的數字證書-1-,私和數字證書

rsa加密算法 流程 employ alice 人的 無法 什麽是 作者 alt 原文地址:https://www.cnblogs.com/hthf/p/4986507.html 英文原文地址: http://www.youdzone.com/signature.h

證書,以及基礎通訊設施模型的一個詳細實現例項流程。

說是加密,不是隻用一種加密方法,而是多種方法協作,達到我們的加密目的。 加密不是說加密完,就完事了,還要考慮第三方能不能解密 如果解密了該怎麼辦? 怎麼加密更快? 如果對方解密了?我們怎麼確保被解密的資料不被篡改?   加密特點: 對稱加密:快速(加密資料,防止

證書,私,pfx,keystore,pem,der 都是什麼??

剛開始接觸證書,很容易就會被各種名詞整的迷迷糊糊,因為對這一塊一直不在熟悉,所以今天找機會好好看了一下關於證書的知識點, ,主要是理了一下思路。 通過搜尋引擎一搜索,我們會發現很多介紹文章,如果沒接觸過這一塊的話,一上來很多的名字就會把人繞暈了。什麼csr,crt,cer,keystor

提取pfx證書和私

從pfx提取金鑰資訊,並轉換為key格式(pfx使用pkcs12模式補足) 1、提取金鑰對(如果pfx證書已加密,會提示輸入密碼。) openssl pkcs12 -in 1.pfx -nocerts -nodes -out 1.key 2、從金鑰對提取私鑰 openssl rsa -in 1.key -