Certyfikat X.509
Certyfikat klucza publicznego X.509 (ang. X.509 public key certificate) – certyfikat klucza publicznego stosowany w architekturze X.509.
Certyfikat X.509 składa się z następujących struktur:
- tbsCertificate – kontener zawierający właściwą treść certyfikatu, podlegający podpisaniu (to be signed) przez urząd certyfikacji
- Version – wartość 0 dla X.509v1, wartość 2 dla obecnie obowiązującej wersji X.509v3
- Serial Number – dodatnia liczba całkowita stanowiąca unikatowy identyfikator certyfikatu wydany w ramach danego urzędu certyfikacji
- Signature – algorytm kryptograficzny, jakiego urząd certyfikacji użył do złożenia podpisu pod strukturą tbsCertificate; wartość ta jest powtórzeniem pola Signature Algorithm umieszczonego na zewnątrz struktury tbsCertificate, gwarantując jego autentyczność
- Issuer – opis urzędu certyfikacji w notacji X.500
- Validity – data i czas UTC początku ważności certyfikatu oraz końca jego ważności (data i czas od roku 2050 muszą być podane w formacie GeneralizedTime zamiast UTC)
- Subject – opis podmiotu (właściciela certyfikatu) w notacji X.500
- Subject Public Key Info – struktura zawierająca ciąg bitów klucza publicznego podmiotu oraz opis algorytmu kryptograficznego zapisany jako jego OID
- Extensions – rozszerzenia ograniczające sposób korzystania z certyfikatu oraz sposób weryfikacji ścieżki certyfikacji
- Signature Algorithm – algorytm kryptograficzny, jakiego urząd certyfikacji użył do złożenia podpisu pod strukturą tbsCertificate
- Signature Value – ciąg bitów zawierający wartość podpisu cyfrowego
Powyższa struktura może być różnie opisywana, w zależności od zastosowanej notacji ASN.1. Powyżej przedstawiona jest notacja zgodna z RFC 5280[1] .
Certyfikaty X.509 są zapisywane za pomocą kodowania BER, dającego w wyniku plik binarny. Dla ułatwienia transportu w kanałach obsługujących tylko ASCII (np. email) stosuje się kodowanie Base64 (format PEM – Privacy Enhanced Email). Rozszerzenia przyjęte tradycyjnie dla certyfikatów w formacie BER to .crt oraz .cer, dla formatu PEM – .pem.
Przypisy
edytujLinki zewnętrzne
edytuj- D. Cooper i inni, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, RFC 5280, IETF, maj 2008, DOI: 10.17487/RFC5280, ISSN 2070-1721, OCLC 943595667 (ang.).