`
desert3
  • 浏览: 2158607 次
  • 性别: Icon_minigender_1
  • 来自: 合肥
社区版块
存档分类
最新评论

X.509、数字签名、CA(Certificate Authority)、自签名证书、PKI

 
阅读更多
X.509是由国际电联电信委员会(ITU-T)为单点登录(SSO-Single Sign-on)和授权管理基础设施(PMI-Privilege Management Infrastructure)制定的数字证书的格式标准。X.509定义了(但不仅限于)公钥证书、证书吊销清单、属性证书和证书路径验证算法等证书标准。

数字证书:
在X.509系统中,CA签发的证书依照X.500的管理,绑定了一个唯一甄别名(DN-Distinguished Name),可以包含多个字段和值,还可以支持别名(Alternative Name)
X.509包含了一个证书吊销列表(CRL-Certificate Revocation List)实施的标准,这在PKI系统中经常被人所忽略。IETF提出的检查证书有效性的方法是在线证书状态(OCSP- Online Certificate Status Protocol)。Firefo3 缺省就是使用OCSP协议。

X.509 v3证书数据结构如下:(Firefox->Tools->Options->Advanced->View Certificates可以看到相关证书)
  • Certificate证书
  • Version 版本 - Version 3
  • Serial Number 序列号 - 01
  • Certificate Signature Algorithm 证书签名算法 - PKCS #1 SHA-1 With RSA Encryption
  • Issuer 颁发者 - 采用X.500格式
  • Validity 有效期
  •         Not Before 有效起始日期 - 5/13/2005 18:27:17 PM
  •         Not After 有效终止日期 - 3/22/2015 18:27:17 PM
  • Subject 使用者 - 采用X.500格式
  • Subject Public Key Info 使用者公钥信息
  •         Public Key Algorithm 公钥算法 - PKCS #1 RSA Encryption
  •         Subject Public Key 公钥
  • Issuer Unique Identifier (Optional) 颁发者唯一标识
  • Subject Unique Identifier (Optional) 使用者唯一标识
  • Extensions (Optional) 扩展
  •         ...
  • Certificate Signature Algorithm 证书签名算法 - PKCS #1 SHA-1 With RSA Encryption
  • Certificate Signature Value 证书数字签名值

数字签名: H--Hash计算  E--加密计算  D--解密计算
在签发者处,首先求出传递消息Info的HASH值,然后用私钥Private Key对Hash值做加密,然后将传递消息原文Info和经过加密的HASH值一起发给接受者,接受者首先用签发者的公钥解开密码得到传递过来的Hash值,然后对收到的Info原文计算HASH值,然后比对是否相同,如果相同,则认证成功。

CA(Certificate Authority)是数字证书认证中心的简称,是指颁发证书、废除证书、更新证书、验证证书、管理密钥的机构。CA建立自上而下的信任链,下级CA信任上级CA,下级CA由上级CA颁发证书并认证。(因为下级CA的证书是用上级CA的密钥加密的,而上级CA的密钥只有自己知道,因此别人无法冒充上级CA给别人发证书,因此才能形成自上而下的信任链!)
现在主流的浏览器:IE、Firefox,Opera和Safari等都会预先安装一部分根证书,这些根证书都是受信任的证书认证机构CA,这样他们颁发的证书,浏览器将可以直接信任。虽然用户可以删除或者禁用这些根证书,但事实上,用户很少这么做。在最新的微软平台,甚至会在用户移除了预先安置的根证书后,当用户再访问这些被删除的根证书网站的时候,会自动将这些根证书恢复到信任列表中。

自签名证书的发行机构是用户自己,不在任何一个受信任的CA下,因此默认情况下,浏览器是不信任这个证书的!需要用户手动添加证书例外、或者导入自签名的根证书

PKI(Public Key Infrastructure)即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

参考:
X.509
PKI
分享到:
评论

相关推荐

    Web Services Security X.509 Certificate Token Profile

    X.509是一种用于公钥基础设施(Public Key Infrastructure, PKI)中的数字证书标准,由ITU-T(国际电信联盟电信标准化部门)制定。这种证书包含了公钥持有者的身份信息以及公钥本身的信息,通过CA(Certificate ...

    microsoft root certificate authority 2010、2011

    标题中的“Microsoft Root Certificate Authority 2010、2011”指的是微软发布的一系列根证书,这些证书是数字签名系统的关键组成部分,用于验证软件、网站和其他在线服务的身份。根证书是公钥基础设施(PKI)的核心...

    遵循X_509标准的CA认证中心设计与实现

    本文旨在介绍一种遵循X.509标准的认证中心(Certificate Authority,简称CA)的设计与实现方案——JITCA。该方案致力于构建一个可靠的第三方权威机构,负责数字证书的发放和管理,并确保其权威性、公正性和可信度。...

    wcf x.509证书认证

    证书包含了持有者的身份信息和公钥,以及由权威机构(CA,Certificate Authority)签名的数字签名,用于验证证书的合法性。 2. **WCF证书配置**: 在WCF服务中使用X.509证书,需要在服务配置文件(通常是`.config`...

    Java实现浏览器CA证书的签名和验证

    3. **X.509证书格式**:X.509是数字证书的标准格式,包含了证书持有者的信息、公钥、有效期等关键信息。Java提供了处理X.509证书的功能。 4. **SSL/TLS协议**:SSL(Secure Sockets Layer)和TLS(Transport Layer ...

    PKI、CA、SSL证书详解

    - **认证中心CA(Certificate Authority):** CA是PKI的核心组成部分,负责数字证书的申请及签发工作。它不仅负责管理PKI结构下所有用户的证书(包括各种应用程序),还承担着验证用户身份的任务,并且要负责用户...

    大学生毕业设计之CA系统(数字证书,数字签名).zip

    本毕业设计主要围绕CA系统(Certificate Authority,证书授权中心)展开,深入探讨了数字证书和数字签名的概念与实现。CA系统是网络安全中的关键组成部分,它为网络用户提供身份验证服务,确保信息传输的安全性。 ...

    MicrosoftRootCertificateAuthority2011-2036.zip

    根证书权威机构(Root Certificate Authority, CA)是公钥基础设施(PKI)的核心组件,它们负责签发和管理其他证书,确保网络上的身份验证和数据加密。 描述中提到的“安装framework 4.7.2的时报错”,这指的是在...

    基于PKI技术的数字签名在办公网上的实现

    认证机构(Certificate Authority,CA)是PKI中的关键组成部分之一,主要负责数字证书的申请、签发、管理和废止等工作。CA作为权威可信的第三方机构,承担着验证用户身份和确保公钥合法性的责任。数字证书是由CA签发...

    x509证书,x509证书,x509证书

    2. **颁发者**:即签发证书的权威机构,通常是证书颁发机构(Certificate Authority,简称CA),它们对证书持有者的身份进行验证并签名。 3. **有效期**:证书的有效起始日期和终止日期,确保在有效期内证书的合法...

    PKI实验报告.pdf

    PKI系统由证书颁发机构(Certificate Authority,CA)、注册机构(Registration Authority,RA)和证书库(Certificate Repository,CR)组成。其中,CA负责颁发和管理数字证书,RA负责验证用户身份,CR负责存储和...

    公开密钥基础设施PKI介绍.pdf

    1. 认证权威机构(Certificate Authority,CA):签发管理数字证书,是PKI的核心。 2. 注册机构(Registration Authority,RA):负责注册和管理用户信息。 3. 数字证书(Digital Certificate):用来证明用户身份和...

    PKI-CA体系介绍.zip

    **二、CA(Certificate Authority)证书权威机构** 证书权威机构(CA)是PKI的核心组成部分,它负责颁发、管理和撤销数字证书。CA通过严格的验证过程,确保证书持有者的身份真实性。当一个实体(如个人、服务器或...

    MicrosoftRootCertificateAuthority2011_XiTongZhiJia.zip

    当用户访问网站或打开受数字签名的文件时,操作系统会检查该证书是否由已知的、可信的根证书签署,以此判断连接或文件的来源是否可靠。 在“MicrosoftRootCertificateAuthority2011.cer”文件中,包含了这个特定根...

    CA系统证书制作设计与实现

    2. **数字证书的制作**:制作数字证书通常包括生成密钥对、填充证书请求、CA签名以及打包成X.509证书格式。在C#中,可以使用System.Security.Cryptography命名空间中的类,如RSACryptoServiceProvider来生成密钥对,...

    Weblogic应用使用PKI证书认证

    3. 自签名CA证书:使用`openssl x509`命令,用刚才生成的私钥签署CSR,设置证书的有效期。 有了自签名的CA证书后,我们就可以为Weblogic服务器生成证书了。这通常使用JDK自带的`keytool`工具完成: 1. 生成密钥对:...

    PKI数字认证技术.rar

    - 数字证书是由权威机构(称为CA,Certificate Authority)签发的,包含拥有者身份信息及其公钥的电子文档。它确保了公钥的可信性,防止中间人攻击。 3. **CA中心** - CA是PKI体系中的关键角色,负责审核申请人的...

    pki资料.zip_PKI

    10. **X.509标准**:国际电信联盟制定的数字证书标准,定义了证书的结构和内容,是现代PKI的基础。 通过www.pudn.com.txt和PKI资料,你可以深入理解这些概念,并了解如何在实际环境中部署和管理PKI。学习PKI对于...

    数字证书签名很强大的算法

    这些信息由一个可信的第三方机构——证书颁发机构(Certificate Authority, CA)进行签名,确保信息的真实性。 签名过程采用了非对称加密算法,如RSA或ECC。当发送者想要向接收者发送信息时,他们会使用接收者的...

Global site tag (gtag.js) - Google Analytics