X.509证书及CeritificationPath及PKCS

X.509,数字证书标准。X.509用在包含SSL/TLS在内的很多网络协议中,证书内部包含一个public key和一个identity(hostname,organization等)。

  X.509由ITU-T发布,International  Telecommunications Unions,基于ASN.1的编码。

一个X.509的证书可以由CA或者self-signed来颁布。

  X.509v3中增加了PKI新的结构类型,mesh和bridge。

证书的格式:

    

  

       

  

 

应用确定证书有效性的过程叫做,Certification Path Process。

Certification Path称为从Trust anchor到Target certificate的路径。

Certification Path Building与Validation,设计和验证Ceritfication Path的有效性。

 

Cross Certification,两个CA之间的一个certification,表明信任链可以从该CA传递到下一个CA。

 

PKI,Public Key Infrastructure,PKI的structure,有很多变化结构,simple,hierarchy,complex等。

  主要用来issue和manage certification。

root CA一般会内嵌到浏览器或者OS中,

 

Sample Hierarchical PKI:

    

web中使用更多的是multi-root CA,Trust list中包含各种各样的机构的CA,这样客户端不需要特意的直到目前需要怎样的证书:

    

除了单向的trust validation,还有互为CA的结构,构成mesh状:

    

带有cross-certified的bridge 状的PKI结构:

    

 

一个典型的Certification Path,

    

 

PKCS,Public Key Cryptography Standards 公钥密码标准,一直由RSA公司颁布更新,来推动RSA技术的发展,

PKCS#1,又名RSA Cryptography Standard,实现了RSA encryptyion,decryption,sign,verify的encoding/padding格式;

PKCS#3,Diffie-Hellman Key Agreement,推动DH算法。

   

 

x509证书链,首先有一个CA跟证书,然后用CA证书来签发用户证书;

  用户进行证书申请,一般先生成一个私钥,然后用私钥生成证书请求,(证书请求中包含公钥信息),再利用证书服务器长度CA跟证书来签发证书;

  数字证书中包含公钥,并且与特定的个人匹配。

posted @ 2017-12-05 11:18  _9_8  阅读(1045)  评论(0编辑  收藏  举报