X.509 에 대한 표준 형식입니다 공개 키 인증서, 암호화 키 쌍을 웹 사이트, 개인 또는 조직과 같은 ID와 안전하게 연관시키는 디지털 문서.
전자 디렉토리 서비스를위한 X.1988 표준과 함께 500 년에 처음 소개 된 X.509는 IETF의 공개 키 인프라 (X.509)에 의해 인터넷 사용에 맞게 조정되었습니다.PKIX) 실무 그룹. RFC 5280 X.509 v3 인증서, X.509 v2 인증서 해지 목록 (CRL)을 프로파일 링하고 X.509 인증서 경로 유효성 검증 알고리즘을 설명합니다.
X.509 인증서의 일반적인 응용 프로그램은 다음과 같습니다.
키 페어 및 서명
의도 한 응용 프로그램에 관계없이 각 X.509 인증서에는 공개 키, 디지털 서명및 인증서와 관련된 ID 및 발급에 대한 정보 인증 기관 (CA):
- XNUMXD덴탈의 공개 키 의 일부입니다 키 페어 그것은 또한 포함 private key. 개인 키는 안전하게 유지되며 공개 키는 인증서에 포함됩니다. 이 공개 / 개인 키 쌍 :
- 개인 키 소유자가 문서에 디지털 서명을 할 수 있습니다. 이러한 서명은 해당 공개 키를 가진 모든 사람이 확인할 수 있습니다.
- 개인 키 소유자 만 해독 할 수있는 공개 키로 암호화 된 메시지를 타사에서 보낼 수 있습니다.
- A 디지털 서명 개인 키로 암호화 된 문서의 인코딩 된 해시 (고정 길이 다이제스트)입니다. X.509 인증서가 공개적으로 신뢰할 수있는 CASSL.com과 같은 인증서는 타사에서 인증서를 사용하여 인증서를 제공하는 엔티티의 신원을 확인할 수 있습니다.참고 : X.509 인증서의 모든 응용 프로그램에 공개 신뢰가 필요한 것은 아닙니다. 예를 들어, 회사는 내부 사용을 위해 개인적으로 신뢰할 수있는 자체 인증서를 발행 할 수 있습니다. 자세한 내용은 다음 기사를 참조하십시오. 비공개 대 공개 PKI.
- 각 X.509 인증서에는 제목, 발급 CA및 인증서와 같은 기타 필수 정보 버전 과 유효 기간. 또한 v3 인증서에는 확장 허용되는 키 사용 및 키 쌍을 바인딩 할 추가 ID와 같은 속성을 정의합니다.
인증서 필드 및 확장
일반적인 X.509 인증서의 내용을 실제로 검토하기 위해 www.ssl.com의 SSL /TLS Chrome에 표시된대로 인증서 주소 표시 줄의 왼쪽에있는 잠금을 클릭하면 HTTPS 웹 사이트의 브라우저에서이 모든 것을 확인할 수 있습니다.
- 첫 번째 세부 정보 그룹에는 제목회사의 이름과 주소 및 공통 이름 인증서가 보호하려는 웹 사이트의 정규화 된 도메인 이름 (또는 정규화 된 도메인 이름) (참고 : 전에, 일련 번호 이 주제 필드에 표시된 인증서 자체의 일련 번호가 아닌 네바다 사업자 식별 번호입니다.)
- 아래로 스크롤하면 발급자. 우연히도이 경우에는 회사조직 주체와 발급자 모두에 대해“SSL Corp”이지만 발급자의 공통 이름 URL이 아닌 발급 CA 인증서의 이름입니다.
- 발급자 아래에 인증서의 일련 번호 (인증서를 고유하게 식별하는 양의 정수), X.509 버전 (3), 서명 알고리즘및 인증서를 지정하는 날짜 유효 기간.
- 다음으로 우리는 공개 키, 서명및 관련 정보.
- 위의 필드 외에도 X.509 v3 인증서에는 확장 인증서 사용에 추가적인 유연성을 제공합니다. 예를 들어 주체 대체 이름 확장을 통해 인증서를 여러 ID에 바인딩 할 수 있습니다. (이 때문에 다중 도메인 인증서는 때때로 SAN 인증서). 아래 예에서 인증서가 실제로 XNUMX 개의 서로 다른 SSL.com 하위 도메인을 포함 함을 알 수 있습니다.
- XNUMXD덴탈의 지문 아래에 표시된 Chrome의 인증서 정보는 인증서 자체의 일부가 아니지만 인증서를 고유하게 식별하는 데 사용할 수있는 독립적으로 계산 된 해시입니다.
인증서 체인
관리 및 보안 관련 이유로 X.509 인증서는 일반적으로 쇠사슬 확인을 위해. 아래 Google 크롬의 스크린 샷에서 볼 수 있듯이 SSL /TLS www.ssl.com의 인증서는 SSL.com의 중간 인증서 중 하나에 의해 서명됩니다. SSL.com EV SSL Intermediate CA RSA R3. 차례로 중간 인증서는 SSL.com의 EV RSA 루트에 의해 서명됩니다.
공개적으로 신뢰할 수있는 웹 사이트의 경우 웹 서버는 자체 웹 사이트를 제공합니다 최종 엔터티 인증서 및 유효성 검사에 필요한 중간체. 공개 키가있는 루트 CA 인증서는 최종 사용자의 운영 체제 및 / 또는 브라우저 응용 프로그램에 포함되어 완전한 신뢰의 사슬.
폐지
X.509 인증서는 반드시 무효화되어야합니다. 이후 유효하지 않음 날짜는 취소 된. 상술 한 바와 같이, RFC 5280 프로필 CRL (인증서 해지 목록), 브라우저 및 기타 클라이언트 소프트웨어에서 쿼리 할 수있는 해지 된 인증서의 타임 스탬프 목록.
웹에서 CRL은 실제로 비효율적이며 OCSP 프로토콜을 포함하여 해지 확인을위한 다른 솔루션으로 대체되었습니다 ( RFC 2560), OCSP 스테이플 링 ( RFC 6066, 섹션 8, "인증서 상태 요청") 및 다양한 웹 브라우저에서 구현 된 다양한 공급 업체별 솔루션입니다. 해지 확인의 까다로운 이력과 현재 바우 저가 인증서 해지 상태를 확인하는 방법에 대한 자세한 내용은 기사를 읽으십시오. 페이지로드 최적화 : OCSP 스테이플 링및 브라우저가 해지 된 SSL /을 처리하는 방법TLS 인증서?
자주 묻는 질문
X.509 에 대한 표준 형식입니다 공개 키 인증서, 암호화 키 쌍을 웹 사이트, 개인 또는 조직과 같은 ID와 안전하게 연관시키는 디지털 문서. RFC 5280 X.509 v3 인증서, X.509 v2 인증서 해지 목록 (CRL)을 프로파일 링하고 X.509 인증서 경로 유효성 검증 알고리즘을 설명합니다.