X.509证书及CeritificationPath及PKCS

X.509，数字证书标准。X.509用在包含SSL/TLS在内的很多网络协议中，证书内部包含一个public key和一个identity(hostname，organization等)。

　　X.509由ITU-T发布，International  Telecommunications Unions，基于ASN.1的编码。

一个X.509的证书可以由CA或者self-signed来颁布。

　　X.509v3中增加了PKI新的结构类型，mesh和bridge。

证书的格式：

　　　　

　　

       

　　

 

应用确定证书有效性的过程叫做，Certification Path Process。

Certification Path称为从Trust anchor到Target certificate的路径。

Certification Path Building与Validation，设计和验证Ceritfication Path的有效性。

 

Cross Certification，两个CA之间的一个certification，表明信任链可以从该CA传递到下一个CA。

 

PKI，Public Key Infrastructure，PKI的structure，有很多变化结构，simple，hierarchy，complex等。

　　主要用来issue和manage certification。

root CA一般会内嵌到浏览器或者OS中，

 

Sample Hierarchical PKI：

　　　　

web中使用更多的是multi-root CA，Trust list中包含各种各样的机构的CA，这样客户端不需要特意的直到目前需要怎样的证书：

　　　　

除了单向的trust validation，还有互为CA的结构，构成mesh状：

　　　　

带有cross-certified的bridge 状的PKI结构：

　　　　

 

一个典型的Certification Path，

　　　　

 

PKCS，Public Key Cryptography Standards 公钥密码标准，一直由RSA公司颁布更新，来推动RSA技术的发展，

PKCS#1，又名RSA Cryptography Standard，实现了RSA encryptyion，decryption，sign，verify的encoding/padding格式；

PKCS#3，Diffie-Hellman Key Agreement，推动DH算法。

　　 

 

x509证书链，首先有一个CA跟证书，然后用CA证书来签发用户证书；

　　用户进行证书申请，一般先生成一个私钥，然后用私钥生成证书请求，(证书请求中包含公钥信息)，再利用证书服务器长度CA跟证书来签发证书；

　　数字证书中包含公钥，并且与特定的个人匹配。