- 互聯網公鑰基礎設施
- 基于可信的第三方機構(CA,certification authority)實作不同成員在不見面的情況下進行安全通信
- 訂閱人
- 需要證書來提供安全服務的團體
- 登記機構(RA)
- 完成證書簽發的相關管理作業,如對用戶進行必要的身份認證
- 證書頒發機構(CA)
- 確認用戶身份后頒發證書
- 在線提供其所簽發證書的最新吊銷資訊
- 信賴方
- 執行證書驗證的網頁瀏覽器、其他程式及作業系統
- 證書
- 證書是包含公鑰、訂閱人相關資訊以及證書頒發者數字簽名的數字檔案
- 抽象語法表示法1(ASN.1)是支持復雜資料結構和物件的定義、傳輸、交換的一系列規則
- X.509依賴于唯一編碼規則(DER),只允許一種方式編碼ASN.1的值
- PEM是DER使用Base64編碼后的ASCII編碼格式
- 證書欄位
- 版本:共3個版本,版本1只支持簡單欄位、版本2增加了2個識別符號、版本3增加了擴展功能
- 序列號:序列號需要是無序的且至少包括20位的熵
- 簽名演算法:證書簽名所用的演算法
- 頒發者(issuer):包含頒發者的DN,根據不同的物體會包含其他的部分,
- 有效期:包含開始時間和結束時間
- 使用者(suject):使用者的物體DN,和公鑰一起用于證書簽發,在自簽名證書中,使用者和頒發者欄位的DN是一樣的,如今使用者欄位已經廢棄轉而使用使用者可選名稱擴展
- 公鑰:使用者公鑰資訊
- 證書擴展:包含唯一的物件識別符號(OID)、關鍵擴展標識器以及ASN.1格式的值
- 使用者可選名稱:支持通過DNS、IP地址、URI來將多個身份系結在一起
- 名稱約束:可以限制CA簽發證書的物件,比如只允許2級CA簽發該公司的所擁有域名的證書
- 基礎約束:用來表明證書是否是CA證書,同時通過路徑長度(path length)約束欄位,限制二級CA證書路徑的深度
- 密鑰用法:定義了證書中密鑰可用的場景,
- 擴展密鑰用法:為了更加靈活的支持和限制公鑰的使用場景
- 證書策略:包含一個或多個策略每個策略都包含一個OID和可選限定符,其主要作用是表明證書是在何種條款下下發的,
- CRL分發點:該擴展用于確定證書吊銷串列(CRL)的LDAP或HTTP URL地址,每張證書都應該包含CRL和OCSP吊銷資訊
- 頒發機構資訊訪問:表明如何訪問簽發CA提供的額外資訊和服務
- 使用者密鑰識別符號:用于識別包含特別公鑰的證書
- 授權密鑰識別符號:簽發此證書的CA的唯一識別符號,用于在構建證書鏈時,找到頒發者的證書
- 證書鏈
- 保證根證書的安全:直接由根證書簽發最終物體證書是不允許的
- 交叉證書:交叉證書是可以讓新CA立即投入運營的唯一方式,通過已經廣泛內置瀏覽器的CA對新CA進行簽名
- 劃分:CA會將不同的操作分散給很多二級CA,二級CA一般使用自動化簽發程式進行簽發
- 委派:CA允許某個外部CA可以給其內部系統進行簽名
- 證書生命周期
- 證書的生命周期從訂閱人將CSR提交給CA的時候就開始了
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/2061.html
標籤:其他
上一篇:《HTTPS權威指南》讀書筆記——SSL/TLS協議
下一篇:克服悲傷情緒的三個P原則
