Čo je certifikát X.509?

X.509 je štandardný formát pre certifikáty verejného kľúča, digitálne dokumenty, ktoré bezpečne spájajú páry kryptografických kľúčov s identitami, ako sú webové stránky, jednotlivci alebo organizácie.

Aplikácia X.1988, ktorá bola prvýkrát predstavená v roku 500 spolu s normami X.509 pre služby elektronických telefónnych zoznamov, bola adaptovaná na používanie internetu infraštruktúrou verejného kľúča IETF (X.509) (PKIX) pracovná skupina. RFC 5280 profiluje certifikát X.509 v3, zoznam zrušených certifikátov X.509 v2 (CRL) a popisuje algoritmus na overenie cesty certifikátu X.509.

Medzi bežné aplikácie certifikátov X.509 patria:

Potrebujete osvedčenie? SSL.com vás pokrýva. Porovnajte možnosti tu nájsť pre vás tú pravú voľbu od S/MIME a certifikáty na podpisovanie kódu a ďalšie.

DOKONČIŤ OBJEDNÁVKU

Kľúčové páry a podpisy

Bez ohľadu na zamýšľané použitie, každý certifikát X.509 obsahuje a verejný kľúč, digitálny podpisa informácie o totožnosti spojenej s certifikátom a o jeho vydaní certifikačná autorita (CA):

  • verejný kľúč je súčasťou a pár kľúčov patria sem aj a súkromný kľúč. Súkromný kľúč je udržiavaný v bezpečí a verejný kľúč je zahrnutý v certifikáte. Táto dvojica verejných / súkromných kľúčov:
    • Umožňuje vlastníkovi súkromného kľúča digitálne podpisovať dokumenty; tieto podpisy môže overiť ktokoľvek so zodpovedajúcim verejným kľúčom.
    • Umožňuje tretím stranám posielať správy šifrované pomocou verejného kľúča, ktoré môže dešifrovať iba vlastník súkromného kľúča.
  • A digitálny podpis je kódovaný hash (výťah s pevnou dĺžkou) dokumentu, ktorý bol šifrovaný súkromným kľúčom. Keď je certifikát X.509 podpísaný a verejne dôveryhodná CA, napríklad SSL.com, môže certifikát použiť tretia strana na overenie totožnosti subjektu, ktorý ho predkladá.
    Poznámka: Nie všetky aplikácie certifikátov X.509 vyžadujú dôveru verejnosti. Spoločnosť môže napríklad vydať svoje vlastné súkromne dôveryhodné certifikáty pre interné použitie. Viac informácií nájdete v našom článku na webe Súkromné ​​vs. verejné PKI.
  • Každý certifikát X.509 obsahuje polia špecifikujúce predmet, vydávajúci CAa ďalšie požadované informácie, napríklad certifikát verzia doba platnosti. Certifikáty v3 navyše obsahujú súbor rozšírenie ktoré definujú vlastnosti, ako sú prijateľné použitie kľúčov a ďalšie identity, na ktoré sa viaže pár kľúčov.
Prejsť na začiatok

Polia certifikátov a rozšírenia

Aby sme skontrolovali obsah typického certifikátu X.509 vo voľnej prírode, preskúmame SSL / www.ssl.comTLS certifikát, ako sa zobrazuje v prehliadači Google Chrome. (Toto všetko môžete skontrolovať vo svojom vlastnom prehliadači a zistiť, či neobsahuje webové stránky HTTPS, kliknutím na zámok v ľavej časti panela s adresou.)

  • Prvá skupina podrobností obsahuje informácie o Vaša FIRMA, vrátane názvu a adresy spoločnosti a Spoločný názov (alebo plne kvalifikovaný názov domény) webu, ktorý má certifikát chrániť. (Poznámka: the,en Sériové číslo v tomto poli predmetu je Nevadské obchodné identifikačné číslo, nie sériové číslo samotného certifikátu.)
    Názov predmetu
  • Pri rolovaní nadol sa stretávame s informáciami o emitent. Nie náhodou, v tomto prípade organizácie je „SSL Corp“ pre subjekt aj pre emitenta, ale pre emitenta Spoločný názov je názov vydávajúceho certifikátu CA namiesto adresy URL.
    emitent
  • Pod vydavateľom sa nachádzajú osvedčenia Sériové číslo (kladné celé číslo jednoznačne identifikujúce certifikát), Verzia X.509 (3), Algoritmus podpisua dátumy špecifikujúce certifikát Platnosť.
    sériové číslo, verzia, algoritmus, platnosť
  • Ďalej prichádzame k verejný kľúčPodpisa súvisiace informácie.
    Verejný kľúč a podpis
  • Okrem vyššie uvedených polí certifikáty X.509 v3 zahŕňajú skupinu Rozšírenie ktoré poskytujú ďalšiu flexibilitu pri používaní certifikátov. Napríklad Alternatívny názov témy rozšírenie umožňuje viazať certifikát na viac identít. (Z tohto dôvodu sa certifikáty viacerých domén niekedy označujú ako Certifikáty SAN). V príklade nižšie vidíme, že certifikát v skutočnosti pokrýva jedenásť rôznych subdomén SSL.com:
    Alternatívny názov témy
  •  odtlačky prstov zobrazené nižšie, informácie o certifikáte v prehliadači Chrome nie sú súčasťou samotného certifikátu, ale sú to nezávisle vypočítané hodnoty hash, ktoré možno použiť na jednoznačnú identifikáciu certifikátu.
Prejsť na začiatok

Reťazce certifikátov

Z administratívnych aj bezpečnostných dôvodov sa certifikáty X.509 zvyčajne kombinujú do reťaze na validáciu. Ako je znázornené na snímke obrazovky z prehliadača Google Chrome nižšie, protokol SSL /TLS certifikát pre www.ssl.com je podpísaný jedným z prechodných certifikátov SSL.com, SSL.com EV SSL Intermediate CA RSA R3. Sprostredkujúci certifikát je zase podpísaný koreňom EV RSA na SSL.com:

Reťaz dôvery

Pre verejne dôveryhodné webové stránky poskytne webový server svoje vlastné konečný subjekt certifikát, plus všetky medziprodukty potrebné na validáciu. Certifikát koreňovej CA s verejným kľúčom bude zahrnutý do operačného systému alebo aplikácie prehľadávača koncového používateľa, čo povedie k úplnosti reťazca dôvery.

Prejsť na začiatok

odvolanie

Certifikáty X.509, ktoré musia byť pred platnosťou zneplatnené Neplatné po dátum môže byť odvolaná, Ako je spomenuté vyššie,  RFC 5280 profily zoznamov zrušených certifikátov (CRL), časovo označených zoznamov zrušených certifikátov, na ktoré môžu prehliadače a iný klientsky softvér vyhľadávať.

Na webe sa CRL v praxi ukázali ako neúčinné a boli nahradené inými riešeniami na kontrolu zrušenia, vrátane protokolu OCSP (uverejneného v RFC 2560), OCSP zošívanie (uverejnené v RFC 6066, oddiel 8, ako „Žiadosť o stav certifikátu“) a sortiment riešení špecifických pre dodávateľa implementovaných v rôznych webových prehľadávačoch. Ak sa chcete dozvedieť viac informácií o zložitej histórii kontroly odvolaní a o tom, ako súčasní bowseri kontrolujú stav odvolania certifikátov, prečítajte si naše články, Optimalizácia načítania stránky: OCSP zošívanieAko fungujú prehľadávače so zrušeným protokolom SSL /TLS Certifikáty?

Prejsť na začiatok

často kladené otázky

Čo je certifikát X.509?

X.509 je štandardný formát pre certifikáty verejného kľúča, digitálne dokumenty, ktoré bezpečne spájajú páry kryptografických kľúčov s identitami, ako sú webové stránky, jednotlivci alebo organizácie. RFC 5280 profiluje certifikát X.509 v3, zoznam zrušených certifikátov X.509 v2 (CRL) a popisuje algoritmus na overenie cesty certifikátu X.509.

Na čo sa používajú certifikáty X.509?

Medzi bežné aplikácie certifikátov X.509 patrí SSL /TLS a HTTPS pre overené a šifrované prehľadávanie webu, podpísaný a šifrovaný e-mail prostredníctvom S/MIME protokol, podpisovanie kódu, podpis dokumentu, autentifikácia klientaa vládou vydaný elektronický preukaz totožnosti.

Ďakujeme, že ste si vybrali SSL.com! Ak máte akékoľvek otázky, kontaktujte nás e-mailom na adrese Support@SSL.com, zavolajte 1-877-SSL-SECURE, alebo stačí kliknúť na odkaz na rozhovor v pravom dolnom rohu tejto stránky. Odpovede na mnoho bežných otázok o podpore nájdete tiež v našom vedomostná základňa.

Tím podpory SSL.com

Autor - správca obsahu
Všetky príspevky

Súvisiace časté otázky

Zobraziť všetky časté otázky

Sledujte nás

facebook Twitter youtube GitHub

Čo je SSL /TLS?

Prehrať video

Prihláste sa na odber bulletinu SSL.com

Nenechajte si ujsť nové články a aktualizácie zo stránky SSL.com

Zostaňte informovaní a zabezpečte sa

SSL.com je svetovým lídrom v oblasti kybernetickej bezpečnosti, PKI a digitálnych certifikátov. Prihláste sa a získajte najnovšie správy z odvetvia, tipy a oznámenia o produktoch SSL.com.

Budeme radi za vašu spätnú väzbu

Zúčastnite sa nášho prieskumu a dajte nám vedieť svoj názor na váš nedávny nákup.

Zúčastnite sa prieskumu