Что такое сертификат X.509?

X.509 это стандартный формат для сертификаты открытых ключейцифровые документы, которые надежно связывают пары криптографических ключей с идентификационными данными, такими как веб-сайты, отдельные лица или организации.

Впервые представленный в 1988 году вместе со стандартами X.500 для служб электронных каталогов, X.509 был адаптирован для использования в Интернете инфраструктурой открытых ключей IETF (X.509) (PKIX) рабочая группа. RFC 5280 профилирует сертификат X.509 v3, список отзыва сертификатов X.509 v2 (CRL) и описывает алгоритм проверки пути сертификата X.509.

Общие применения сертификатов X.509 включают в себя:

Нужен сертификат? SSL.com поможет вам. Сравните варианты здесь найти правильный выбор для вас, от S/MIME и сертификаты подписи кода и многое другое.

ЗАКАЗАТЬ СЕЙЧАС

Ключевые пары и подписи

Независимо от предполагаемого (ых) приложения (ей), каждый сертификат X.509 включает Открытый ключ, цифровой подписии информация как о личности, связанной с сертификатом, так и о его выдаче центр сертификации (CA):

  • Ассоциация Открытый ключ является частью пара ключей это также включает в себя закрытый ключ, Закрытый ключ хранится в безопасности, а открытый ключ включается в сертификат. Эта пара открытых / закрытых ключей:
    • Позволяет владельцу закрытого ключа подписывать документы цифровой подписью; эти подписи могут быть проверены кем-либо с соответствующим открытым ключом.
    • Позволяет третьим сторонам отправлять сообщения, зашифрованные с помощью открытого ключа, которые может расшифровать только владелец личного ключа.
  • A цифровой подписи представляет собой закодированный хэш (дайджест фиксированной длины) документа, зашифрованного с помощью закрытого ключа. Когда сертификат X.509 подписан публично доверенный CA, например SSL.com, сертификат может быть использован третьей стороной для проверки личности представляющего его объекта.
    Примечание: Не все приложения сертификатов X.509 требуют общественного доверия. Например, компания может выпускать собственные доверенные сертификаты для внутреннего использования. Для получения дополнительной информации прочитайте нашу статью о Частное против общественного PKI.
  • Каждый сертификат X.509 включает в себя поля, указывающие предмет, выдающий CA, и другая необходимая информация, такая как сертификат версия и срок годности, Кроме того, сертификаты v3 содержат набор расширения которые определяют такие свойства, как допустимое использование ключей и дополнительные идентификаторы для привязки пары ключей.
Вернуться к началу

Поля сертификата и расширения

Чтобы проверить содержимое типичного сертификата X.509 в реальных условиях, мы рассмотрим SSL / сертификат www.ssl.com.TLS сертификат, как показано в Google Chrome. (Вы можете проверить все это в своем собственном браузере для любого веб-сайта HTTPS, нажав на замок в левой части адресной строки.)

  • Первая группа деталей включает в себя информацию о Тема , включая название и адрес компании и Распространенное имя (или Полное доменное имя) веб-сайта, который сертификат предназначен для защиты. (Примечание: домен Серийный номер в этом поле темы указан идентификационный номер компании в Неваде, а не серийный номер самого сертификата.)
    Имя субъекта
  • Прокручивая вниз, мы сталкиваемся с информацией о эмитент, Не случайно в этом случае организация "SSL Corp" как для субъекта, так и для эмитента, но эмитент Распространенное имя это имя выдающего сертификата CA, а не URL.
    эмитент
  • Под эмитентом мы видим сертификат Серийный номер (положительное целое число, однозначно идентифицирующее сертификат), Версия X.509 (3), Алгоритм подписи, и даты, указывающие Срок действия.
    серийный номер, версия, алгоритм, срок действия
  • Далее мы приходим к публичный ключПодписьи связанная информация.
    Открытый ключ и подпись
  • В дополнение к полям, указанным выше, сертификаты X.509 v3 включают группу Расширения которые предлагают дополнительную гибкость в использовании сертификатов. Например, Subject Alternative Name расширение позволяет сертификату быть привязанным к нескольким удостоверениям. (По этой причине многодоменные сертификаты иногда называют Сертификаты SAN). В приведенном ниже примере мы видим, что сертификат фактически охватывает одиннадцать различных поддоменов SSL.com:
    Subject Alternative Name
  • Ассоциация Отпечатки Показанная ниже информация о сертификате в Chrome не является частью самого сертификата, а представляет собой независимо вычисляемые хэши, которые можно использовать для однозначной идентификации сертификата.
Вернуться к началу

Цепочки сертификатов

Как по административным причинам, так и по соображениям безопасности сертификаты X.509 обычно объединяются в цепи для проверки. Как показано на скриншоте из Google Chrome ниже, SSL /TLS сертификат для www.ssl.com подписан одним из промежуточных сертификатов SSL.com, SSL.com EV SSL Intermediate CA RSA R3. В свою очередь, промежуточный сертификат подписывается корнем SSL.com EV RSA:

Сеть доверия

Для публично доверенных веб-сайтов, веб-сервер будет предоставлять свой собственный конечный объект сертификат, а также любые промежуточные звенья, необходимые для проверки. Сертификат корневого ЦС с его открытым ключом будет включен в операционную систему конечного пользователя и / или приложение браузера, что приведет к полному цепь доверия.

Вернуться к началу

ревокация

Сертификаты X.509, которые должны быть признаны недействительными до их Не действует после дата может быть отозвана, Как уже упоминалось выше,  RFC 5280 профили списков отозванных сертификатов (CRL), списки отозванных сертификатов с отметками времени, которые могут быть запрошены браузерами и другим клиентским программным обеспечением.

В Интернете списки отзыва сертификатов на практике оказались неэффективными и были заменены другими решениями для проверки отзыва, включая протокол OCSP (опубликован в RFC 2560), OCSP Stapling (опубликовано в RFC 6066, раздел 8, как «Запрос статуса сертификата»), а также набор решений для конкретных поставщиков, реализованных в различных веб-браузерах. Для получения дополнительной информации о сложной истории проверки отзыва и о том, как нынешние баузеры проверяют статус отзыва сертификатов, прочтите наши статьи, Оптимизация загрузки страницы: сшивание OCSPкачества Как браузеры обрабатывают отозванный SSL /TLS Сертификаты?

Вернуться к началу

Часто задаваемые вопросы

Что такое сертификат X.509?

X.509 это стандартный формат для сертификаты открытых ключейцифровые документы, которые надежно связывают пары криптографических ключей с идентификационными данными, такими как веб-сайты, отдельные лица или организации. RFC 5280 профилирует сертификат X.509 v3, список отзыва сертификатов X.509 v2 (CRL) и описывает алгоритм проверки пути сертификата X.509.

Для чего используются сертификаты X.509?

Общие применения сертификатов X.509 включают: SSL /TLS и HTTPS для аутентифицированного и зашифрованного просмотра веб-страниц, подписанной и зашифрованной электронной почты через S/MIME протокол, подпись кода, подписание документа, аутентификация клиентакачества электронное удостоверение личности государственного образца.

Спасибо, что выбрали SSL.com! Если у вас возникнут вопросы, свяжитесь с нами по электронной почте по адресу Support@SSL.com, вызов 1-877-SSL-SECURE, или просто нажмите ссылку чата в правом нижнем углу этой страницы. Вы также можете найти ответы на многие распространенные вопросы поддержки в нашем база знаний.

Служба поддержки SSL.com

Автор - администратор контента
Все сообщения

Связанные часто задаваемые вопросы

Просмотреть все часто задаваемые вопросы

Подписывайтесь на Нас

Facebook Twitter Youtube Github

Что такое SSL /TLS?

Воспроизвести видео

Подпишитесь на рассылку новостей SSL.com

Не пропустите новые статьи и обновления с SSL.com

Будьте в курсе и будьте в безопасности

SSL.com является мировым лидером в области кибербезопасности, PKI и цифровые сертификаты. Подпишитесь, чтобы получать последние новости отрасли, советы и анонсы продуктов от SSL.com.

Мы будем рады вашим отзывам

Пройдите наш опрос и поделитесь с нами своими мыслями о своей недавней покупке.

Пройти опрос