en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Was ist ein X.509-Zertifikat?

X.509 ist ein Standardformat für Public-Key-Zertifikate, digitale Dokumente, die kryptografische Schlüsselpaare sicher mit Identitäten wie Websites, Einzelpersonen oder Organisationen verknüpfen.

X.1988 wurde 500 neben den X.509-Standards für elektronische Verzeichnisdienste eingeführt und von der IETF-Infrastruktur für öffentliche Schlüssel (X.509) für die Internetnutzung angepasst (X.XNUMX).PKIX) Arbeitsgruppe. RFC 5280 Profiliert das X.509 v3-Zertifikat, die X.509 v2-Zertifikatsperrliste (CRL) und beschreibt einen Algorithmus für die Überprüfung des X.509-Zertifikatpfads.

Häufige Anwendungen von X.509-Zertifikaten sind:

Benötigen Sie ein Zertifikat? SSL.com hat Sie abgedeckt. Vergleichen Sie die Optionen hier um die richtige Wahl für Sie zu finden, von S/MIME und Codesignaturzertifikate und mehr.

BESTELLEN SIE JETZT!

Schlüsselpaare und Unterschriften

Unabhängig von den beabsichtigten Anwendungen enthält jedes X.509-Zertifikat a Öffentlicher Schlüssel, Digitale Unterschriftund Informationen sowohl zur Identität des Zertifikats als auch zu seiner Ausstellung Zertifizierungsstelle (CA):

  • Das Öffentlicher Schlüssel Teil a ist Schlüsselpaar dazu gehört auch a privater Schlüssel. Der private Schlüssel wird sicher aufbewahrt und der öffentliche Schlüssel ist im Zertifikat enthalten. Dieses öffentliche / private Schlüsselpaar:
    • Ermöglicht dem Besitzer des privaten Schlüssels, Dokumente digital zu signieren. Diese Signaturen können von jedem mit dem entsprechenden öffentlichen Schlüssel überprüft werden.
    • Ermöglicht Dritten das Senden von Nachrichten, die mit dem öffentlichen Schlüssel verschlüsselt sind und die nur der Eigentümer des privaten Schlüssels entschlüsseln kann.
  • A Digitale Unterschrift ist ein codierter Hash (Digest fester Länge) eines Dokuments, das mit einem privaten Schlüssel verschlüsselt wurde. Wenn ein X.509-Zertifikat von a öffentlich vertrauenswürdige ZertifizierungsstelleB. SSL.com, kann das Zertifikat von einem Dritten verwendet werden, um die Identität der Entität zu überprüfen, die es präsentiert.
    Hinweis: Nicht alle Anwendungen von X.509-Zertifikaten erfordern öffentliches Vertrauen. Beispielsweise kann ein Unternehmen seine eigenen privat vertrauenswürdigen Zertifikate für den internen Gebrauch ausstellen. Weitere Informationen finden Sie in unserem Artikel unter Privat gegen Öffentlich PKI.
  • Jedes X.509-Zertifikat enthält Felder, in denen das angegeben ist Fach, CA ausstellenund andere erforderliche Informationen wie die des Zertifikats Version und Gültigkeitsdauer. Darüber hinaus enthalten v3-Zertifikate eine Reihe von Erweiterungen die Eigenschaften wie akzeptable Schlüsselverwendungen und zusätzliche Identitäten definieren, an die ein Schlüsselpaar gebunden werden soll.

Zertifikatsfelder und -erweiterungen

Um den Inhalt eines typischen X.509-Zertifikats in freier Wildbahn zu überprüfen, untersuchen wir das SSL / von www.ssl.com.TLS Zertifikat, wie in Google Chrome gezeigt. (Sie können dies alles in Ihrem eigenen Browser auf jede HTTPS-Website überprüfen, indem Sie auf das Schloss links in der Adressleiste klicken.)

  • Die erste Gruppe von Details enthält Informationen über die Betreff , einschließlich des Namens und der Adresse des Unternehmens und der Gemeinsamen Namen (oder vollständig qualifizierter Domainname) der Website, die durch das Zertifikat geschützt werden soll. (Hinweis: the Seriennummer In diesem Betrefffeld wird eine Nevada-Geschäftsidentifikationsnummer angezeigt, nicht die Seriennummer des Zertifikats selbst.)
    Subjekt Name
  • Beim Scrollen nach unten stoßen wir auf Informationen über die Aussteller. Nicht zufällig ist in diesem Fall die Organisation ist "SSL Corp" sowohl für das Subjekt als auch für den Emittenten, jedoch für den Emittenten Gemeinsamen Namen ist der Name des ausstellenden CA-Zertifikats anstelle einer URL.
    Aussteller
  • Unterhalb der Emittentin sehen wir die Zertifikate Seriennummer (eine positive Ganzzahl, die das Zertifikat eindeutig identifiziert), X.509 Version (3), der Signaturalgorithmusund Daten, die das Zertifikat angeben Gültigkeitszeitraum.
    Seriennummer, Version, Algorithmus, Gültigkeit
  • Als nächstes erreichen wir die public KeySignatureund zugehörige Informationen.
    Öffentlicher Schlüssel und Unterschrift
  • Zusätzlich zu den obigen Feldern enthalten X.509 v3-Zertifikate eine Gruppe von Erweiterungsoptionen Diese bieten zusätzliche Flexibilität bei der Verwendung von Zertifikaten. Zum Beispiel die Subject Alternative Name Durch die Erweiterung kann das Zertifikat an mehrere Identitäten gebunden werden. (Aus diesem Grund werden Zertifikate mit mehreren Domänen manchmal als bezeichnet SAN-Zertifikate). Im folgenden Beispiel sehen wir, dass das Zertifikat tatsächlich elf verschiedene SSL.com-Subdomänen abdeckt:
    Subject Alternative Name
  • Das  Fingerabdrücke Die unten gezeigten Zertifikatinformationen in Chrome sind nicht Teil des Zertifikats selbst, sondern unabhängig berechnete Hashes, mit denen ein Zertifikat eindeutig identifiziert werden kann.

Zertifikatsketten

Aus administrativen und sicherheitsrelevanten Gründen werden X.509-Zertifikate normalerweise in kombiniert Ketten zur Validierung. Wie im Screenshot von Google Chrome unten gezeigt, ist das SSL /TLS Das Zertifikat für www.ssl.com wird von einem der Zwischenzertifikate von SSL.com signiert. SSL.com EV SSL Intermediate CA RSA R3. Das Zwischenzertifikat wird wiederum vom EV RSA-Stamm von SSL.com signiert:

Vertrauenskette

Für öffentlich vertrauenswürdige Websites stellt der Webserver seine eigenen bereit Endeinheit Zertifikat sowie alle für die Validierung erforderlichen Zwischenprodukte. Das Zertifikat der Stammzertifizierungsstelle mit seinem öffentlichen Schlüssel wird in das Betriebssystem und / oder die Browseranwendung des Endbenutzers aufgenommen, was zu einem vollständigen Zertifikat führt Kette des Vertrauens.

Widerruf

X.509-Zertifikate, die vor ihrem ungültig gemacht werden müssen Nicht gültig nach Datum kann sein widerrufen. Wie oben erwähnt,  RFC 5280 Profile Certificate Revocation Lists (CRLs), Zeitstempellisten mit gesperrten Zertifikaten, die von Browsern und anderer Client-Software abgefragt werden können.

Im Web haben sich CRLs in der Praxis als unwirksam erwiesen und wurden durch andere Lösungen für die Widerrufsprüfung ersetzt, einschließlich des OCSP-Protokolls (veröffentlicht in RFC 2560), OCSP Stapling (veröffentlicht in RFC 6066, Abschnitt 8, als "Certificate Status Request") und eine Auswahl herstellerspezifischer Lösungen, die in verschiedenen Webbrowsern implementiert sind. Weitere Informationen zur heiklen Geschichte der Widerrufsprüfung und zur aktuellen Überprüfung des Widerrufsstatus von Zertifikaten durch aktuelle Browser finden Sie in unseren Artikeln. Optimierung des Seitenladens: OCSP-Heftenund Wie gehen Browser mit widerrufenem SSL um?TLS Zertifikate?

Häufig gestellte Fragen

Was ist ein X.509-Zertifikat?

X.509 ist ein Standardformat für Public-Key-Zertifikate, digitale Dokumente, die kryptografische Schlüsselpaare sicher mit Identitäten wie Websites, Einzelpersonen oder Organisationen verknüpfen. RFC 5280 Profiliert das X.509 v3-Zertifikat, die X.509 v2-Zertifikatsperrliste (CRL) und beschreibt einen Algorithmus für die Überprüfung des X.509-Zertifikatpfads.

Wofür werden X.509-Zertifikate verwendet?

Häufige Anwendungen von X.509-Zertifikaten sind: SSL /TLS und HTTPS für authentifiziertes und verschlüsseltes Surfen im Internet, signierte und verschlüsselte E-Mails über die S/MIME Protokoll, Codesignatur, Signieren von Dokumenten, Client-Authentifizierungund von der Regierung ausgestellter elektronischer Ausweis.

Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com