X.509证书及CeritificationPath及PKCS
X.509,数字证书标准。X.509用在包含SSL/TLS在内的很多网络协议中,证书内部包含一个public key和一个identity(hostname,organization等)。
X.509由ITU-T发布,International Telecommunications Unions,基于ASN.1的编码。
一个X.509的证书可以由CA或者self-signed来颁布。
X.509v3中增加了PKI新的结构类型,mesh和bridge。
证书的格式:
应用确定证书有效性的过程叫做,Certification Path Process。
Certification Path称为从Trust anchor到Target certificate的路径。
Certification Path Building与Validation,设计和验证Ceritfication Path的有效性。
Cross Certification,两个CA之间的一个certification,表明信任链可以从该CA传递到下一个CA。
PKI,Public Key Infrastructure,PKI的structure,有很多变化结构,simple,hierarchy,complex等。
主要用来issue和manage certification。
root CA一般会内嵌到浏览器或者OS中,
Sample Hierarchical PKI:
web中使用更多的是multi-root CA,Trust list中包含各种各样的机构的CA,这样客户端不需要特意的直到目前需要怎样的证书:
除了单向的trust validation,还有互为CA的结构,构成mesh状:
带有cross-certified的bridge 状的PKI结构:
一个典型的Certification Path,
PKCS,Public Key Cryptography Standards 公钥密码标准,一直由RSA公司颁布更新,来推动RSA技术的发展,
PKCS#1,又名RSA Cryptography Standard,实现了RSA encryptyion,decryption,sign,verify的encoding/padding格式;
PKCS#3,Diffie-Hellman Key Agreement,推动DH算法。
x509证书链,首先有一个CA跟证书,然后用CA证书来签发用户证书;
用户进行证书申请,一般先生成一个私钥,然后用私钥生成证书请求,(证书请求中包含公钥信息),再利用证书服务器长度CA跟证书来签发证书;
数字证书中包含公钥,并且与特定的个人匹配。