X.509証明書とは

X.509 の標準形式です 公開鍵証明書、暗号鍵ペアをWebサイト、個人、組織などのIDに安全に関連付けるデジタルドキュメント。

電子ディレクトリサービスのX.1988標準とともに500年に初めて導入されたX.509は、IETFの公開鍵インフラストラクチャ(X.509)(PKIX)ワーキンググループ。 RFC 5280 X.509 v3証明書、X.509 v2証明書失効リスト(CRL)のプロファイルを作成し、X.509証明書パス検証のアルゴリズムについて説明します。

X.509証明書の一般的なアプリケーションは次のとおりです。

証明書が必要ですか? SSL.comはあなたをカバーしました。 ここでオプションを比較 あなたにとって正しい選択を見つけるために、 S/MIME コード署名証明書など。

今すぐ注文

鍵ペアと署名

目的のアプリケーションに関係なく、各X.509証明書には 公開鍵, デジタル署名、および証明書に関連付けられたIDとその発行の両方に関する情報 認証局(CA):

  •   公開鍵 の一部であり、 キーペア それも含まれています 秘密鍵。 秘密鍵は安全に保管され、公開鍵は証明書に含まれています。 この公開/秘密鍵ペア:
    • 秘密鍵の所有者がドキュメントにデジタル署名できるようにします。 これらの署名は、対応する公開鍵を持つ誰でも確認できます。
    • 秘密鍵の所有者だけが復号化できる公開鍵で暗号化されたメッセージを第三者が送信できるようにします。
  • A デジタル署名 秘密鍵で暗号化されたドキュメントのエンコードされたハッシュ(固定長ダイジェスト)です。 X.509証明書がによって署名されている場合 公的に信頼されたCASSL.comなどの証明書を第三者が使用して、証明書を提示するエンティティのIDを確認できます。
    注: X.509証明書のすべてのアプリケーションがパブリックトラストを必要とするわけではありません。 たとえば、企業は内部で使用するために独自に信頼できる証明書を発行できます。 詳細については、私たちの記事を読んでください プライベートvsパブリック PKI.
  • 各X.509証明書には、 テーマ, CAの発行、および証明書のような他の必要な情報 バージョン 有効期間。 さらに、v3証明書には、 エクステンション 許容可能なキーの使用法やキーペアをバインドする追加のIDなどのプロパティを定義します。
ページのトップへ

証明書フィールドと拡張

一般的なX.509証明書の内容を実際に確認するために、www.ssl.comのSSL /を調べます。TLS Google Chromeに表示される証明書。 (アドレスバーの左側にあるカギをクリックすると、HTTPS Webサイトのブラウザでこれをすべて確認できます。)

  • 最初の詳細グループには、 件名、会社の名前と住所、および 一般名 証明書が保護することを目的とするWebサイトの(または完全修飾ドメイン名)。 (注:   Serial Number このサブジェクトフィールドに表示されるのはネバダ州のビジネス識別番号であり、証明書自体のシリアル番号ではありません)。
    件名
  • 下にスクロールすると、 発行者。 偶然ではなく、この場合、 組織 サブジェクトと発行者の両方にとって「SSLCorp」ですが、発行者の 一般名 URLではなく、発行CA証明書の名前です。
    発行者
  • 発行者の下に、証明書の Serial Number (証明書を一意に識別する正の整数)、 X.509バージョン (3)、 署名アルゴリズム、および証明書の日付を指定する日付 有効期間.
    シリアル番号、バージョン、アルゴリズム、有効性
  • 次に、 公開鍵署名、および関連情報。
    公開鍵と署名
  • 上記のフィールドに加えて、X.509 v3証明書には、 拡張機能 証明書の使用に追加の柔軟性を提供します。 たとえば、 サブジェクトの別名 拡張により、証明書を複数のIDにバインドできます。 (このため、マルチドメイン証明書は、 SAN証明書)。 以下の例では、証明書が実際にはXNUMXの異なるSSL.comサブドメインをカバーしていることがわかります。
    サブジェクトの別名
  •   指紋 以下に示すChromeの証明書情報は証明書自体の一部ではありませんが、証明書を一意に識別するために使用できる独立して計算されたハッシュです。
ページのトップへ

証明書チェーン

管理上およびセキュリティ関連の両方の理由により、X.509証明書は通常、 チェーン 検証用。 以下のGoogleChromeのスクリーンショットに示されているように、SSL /TLS www.ssl.comの証明書は、SSL.comの中間証明書のXNUMXつによって署名されています。 SSL.com EV SSL Intermediate CA RSA R3。 次に、中間証明書はSSL.comのEVRSAルートによって署名されます。

信頼の連鎖

公に信頼できるWebサイトの場合、Webサーバーは独自のWebサイトを提供します エンドエンティティ 証明書、および検証に必要な中間体。 公開鍵を含むルートCA証明書は、エンドユーザーのオペレーティングシステムやブラウザアプリケーションに含まれ、完全な 信頼の連鎖.

ページのトップへ

取消

その前に無効にする必要があるX.509証明書 後に有効ではない 日付は 取り消された。 上記のように、  RFC 5280 プロファイル証明書失効リスト(CRL)、ブラウザーやその他のクライアントソフトウェアで照会できる失効した証明書のタイムスタンプ付きリスト。

Web上では、CRLは実際には効果がないことが証明されており、OCSPプロトコル( RFC 2560)、OCSP Stapling(で公開 RFC 6066、セクション8、「Certificate Status Request」として)、さまざまなウェブブラウザに実装されたベンダー固有のソリューションの品揃え。 失効チェックの厄介な歴史と現在のクッパが証明書の失効ステータスをチェックする方法の詳細については、私たちの記事を読んでください、 ページ読み込みの最適化:OCSPステープリングブラウザは取り消されたSSLをどのように処理しますか/TLS 証明書?

ページのトップへ

よくある質問

X.509証明書とは何ですか?

X.509 の標準形式です 公開鍵証明書、暗号鍵ペアをWebサイト、個人、組織などのIDに安全に関連付けるデジタルドキュメント。 RFC 5280 X.509 v3証明書、X.509 v2証明書失効リスト(CRL)のプロファイルを作成し、X.509証明書パス検証のアルゴリズムについて説明します。

X.509証明書は何に使用されますか?

X.509証明書の一般的なアプリケーションは次のとおりです。 SSL /TLS & HTTPS 認証および暗号化されたWebブラウジング、署名および暗号化された電子メールの場合 S/MIME プロトコル、 コード署名, 文書の署名, クライアント認証, 政府発行の電子ID.

SSL.comをご利用いただきありがとうございます。 ご不明な点がございましたら、メールでお問い合わせください。 Support@SSL.com電話する 1-877-SSL-SECURE、またはこのページの右下にあるチャットリンクをクリックしてください。 また、サポートに関する多くの一般的な質問への回答も、 知識ベース.

SSL.comサポートチーム

著者-コンテンツ管理者
全ての記事

関連するFAQ

すべてのFAQを見る

フォローする

Facebook Twitter Youtube githubの

SSL /とはTLS?

ビデオの再生

SSL.comのニュースレターを購読する

SSL.comからの新しい記事と更新をお見逃しなく

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。

調査する