证书各部分的含义

最新推荐文章于 2024-04-17 21:05:42 发布
最新推荐文章于 2024-04-17 21:05:42 发布
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 算法 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_14679/article/details/81803710
  <FONT face=宋体>Version 证书版本号,不同版本的证书格式不同
  Serial Number 序列号,同一身份验证机构签发的证书序列号唯一
  Algorithm Identifier 签名算法,包括必要的参数 Issuer 身份验证机构的标识信息
  Period of Validity 有效期
  Subject 证书持有人的标识信息
  Subject’s Public Key 证书持有人的公钥
  Signature 身份验证机构对证书的签名</FONT>
  证书的格式 认证中心所发放的证书均遵循 X.509 V3 标准,其基本格式如下:
  证书版本号(Certificate Format Version)
  含义:用来指定证书格式采用的 X.509 版本号。
  证书序列号(Certificate Serial Number)
  含义:用来指定证书的唯一序列号,以标识 CA 发出的所有公钥证书。
  签名(Signature) 算法标识(Algorithm Identifier)
  含义:用来指定 CA 签发证书所用的签名算法。
  签发此证书的 CA 名称(Issuer )
  含义:用来指定签发证书的 CA 的 X.500 唯一名称(DN, Distinguished Name)。
  证书有效期(Validity Period) 起始日期(notBefore) 终止日期(notAfter)
  含义:用来指定证书起始日期和终止日期。
  用户名称(Subject)
  含义:用来指定证书用户的 X.500 唯一名称(DN,Distinguished Name)。
  用户公钥信息(Subject Public Key Information) 算法(algorithm) 算法标识(Algorithm Identifier) 用户公钥(subject Public Key)
  含义:用来标识公钥使用的算法,并包含公钥本身。
  证书扩充部分(扩展域)(Extensions)
  含义:用来指定额外信息。 
  X.509 V3 证书的扩充部分(扩展域)及实现方法如下:
  CA 的公钥标识(Authority Key Identifier)
  公钥标识(SET 未使用)(Key Identifier)
  签发证书者证书的签发者的甄别名(Certificate Issuer)
  签发证书者证书的序列号(Certificate Serial Number)
  X.509 V3 证书的扩充部分(扩展域)及实现CA 的公钥标识(Authority Key Identifier)
  公钥标识(SET 未使用)(Key Identifier)
  签发证书者证书的签发者的甄别名(Certificat签发证书者证书的序列号(Certificate Serial Number)
  含义:CA 签名证书所用的密钥对的唯一标识用户的公钥标识(Subject Key Identifier) 
  含义:用来标识与证书中公钥相关的特定密钥进行解密。
  证书中的公钥用途(Key Usage)
  含义:用来指定公钥用途。
  用户的私钥有效期(Private Key Usage Period) 起始日期(Note Before) 终止日期(Note After)
  含义:用来指定用户签名私钥的起始日期和终止日期。
  CA 承认的证书政策列表(Certificate Policies)
  含义:用来指定用户证书所适用的政策,证书政策可由对象标识符表示。
  用户的代用名(Substitutional Name)
  含义:用来指定用户的代用名。
  CA 的代用名(Issuer Alt Name)
  含义:用来指定 CA 的代用名。
  基本制约(Basic Constraints)
  含义:用来表明证书用户是最终用户还是 CA。 在 SET 系统中有一些私有扩充部分(扩展域)Hashed Root Key 含义:只在根证书中使用,用于证书更新时进行回溯。
  证书类型(Certificate Type)
  含义:用来区别不同的实体。该项是必选的。
  商户数据(Merchant Data)
  含义:包含支付网关需要的所有商户信息。
  持卡人证书需求(Card Cert Required)
  含义:显示支付网关是否支持与没有证书的持卡人进行交易。
  SET 扩展(SETExtensions)
  含义:列出支付网关支持的支付命令的 SET 信息扩展。
  CRL 数据定义版本(Version)
  含义:显示 CRL 的版本号。
  CRL 的签发者(Issuer)
  含义:指明签发 CRL 的 CA 的甄别名。
  CRL 发布时间(this Update) 预计下一个 CRL 更新时间(Next Update) 撤销证书信息目录(Revoked Certificates) CRL 扩展(CRL Extension) CA 的公钥标识(Authority Key Identifier) CRL 号(CRL Number)
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
总结证书扩展和证书分类
大力海棠的博客
01-27 2651
自签名证书 签发后的CA证书可以进行扩展,分为私有扩展和标准扩展,私有扩展针对的是自签名证书,即由用户自己签发的证书,而非CA机构签发的,一般浏览器也不会集成有字签名证书的根证书,所以访问这类网站时,浏览器会提示给证书是不安全的,可能是伪造的。当然用户也可以选择信任该证书,然后继续TLS/SSL的握手过程,完成握手后,TLS/SSL仍然提供数据加密等完整性保护。自签名证书通常是内部使用,或者用在...
X509证书的主体(Subject)
展望、进击
04-17 1157
在数字世界中,X.509证书起着核心的认证作用,而每个证书的有效期是其重要属性之一。这篇文章将探讨X.509证书的有效期,它是如何决定的,以及为什么适时更新证书至关重要。📅🔒
[svc]证书各个字段的含义
weixin_33752045的博客
12-22 919
证书生成工具 1,openssl 2,jdk自带的keystone 3,cfssl 证书中各个字段的含义 - 查看证书的内容 openssl x509 -in /etc/pki/CA/cacert.pem -noout -text|egrep -i "issuer|subject|serial|dates" openssl x509 -noout -text -in kubernetes...
[svc]证书的生成和各个字段的含义
毛台
05-17 3210
证书生成: 1,openssl 2,jdk自带的keystone 3,cfssl 数字证书中主题(Subject)中字段的含义 一般的数字证书产品的主题通常含有如下字段: 公用名称 (Common Name) 简称:CN 字段,对于 SSL 证书,一般为网站域名;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;  单位名称 (Organi
Certificate 超详细解析cer证书(序列号,颁发者,公钥等)
热门推荐
生命不息,bug不止,一起探讨下写bug的技术吧
03-02 2万+
我们一般说的证书就是数字证书:数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份 一般有两种:PFX证书、CER证书 PFX证书: 由Public Key Cryptography Standards #12,PKCS#12标准定义,包含了公钥和私钥的二进制格式的证书形式,以pfx作为证书文件后缀名。 一般RSA证书比较多,现在国内的RSA根证到期,有些企业已经不用了。 SM2证书: 1.二进制编码的证书 证书中没有私钥,DER 编码二进制格式的证书文件,以ce
数字证书中主题(Subject)中字段的含义
09-27 1万+
数字证书中主题(Subject)中字段的含义 一般的数字证书产品的主题通常含有如下字段: 公用名称 (Common Name) 简称:CN 字段,对于 SSL 证书,一般为网站域名或IP地址;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;  单位名称 (Organization Name) :简称:O 字段,对于 SSL 证书,一般为网站域名;
大学期间部分比赛获奖证书
04-21
"大学期间部分比赛获奖证书"这一主题涵盖了学生在学术、技术、创新、团队合作等多个领域的优秀表现。这些证书是学生综合素质的证明,对于未来求职或者继续深造都有着积极的影响。 首先,我们要理解“奖状”这一标签...
jupyter notebook --generate-config各部分含义
10-26
它由两个部分组成:jupyter notebook是启动Jupyter Notebook的命令,--generate-config是一个选项,用于生成配置文件。生成的配置文件包含了Jupyter Notebook的各种设置,例如密码、端口号、SSL证书等。这些设置可以...
请给出X.509数字证书含义
12-29
### X.509 数字证书的定义 X.509 数字证书是密码学领域内用于公钥基础设施(PKI)的一种标准化格式[^1]。这种证书主要用于确保公钥的安全分发和验证,其核心功能在于绑定实体的身份与其对应的公钥。通过这种方式,...
C语言实现X509证书解析
02-22
1.C语言实现完整的X509证书解析方案; 2.解析出证书的序列号、公钥;
x509证书中的Issuer和Subject
liudong200618的博客
05-11 3981
颁发者字段标识已签署和颁发证书的实体。 颁发者字段必须包含一个非空的可分辨名称 (DN)。 颁发者字段定义为 X.501 类型名称 [X.501]。 名称由以下 ASN.1 结构定义: Name 描述了一个由属性组成的分层名称,例如国家名称,以及相应的值,例如 US。 组件AttributeValue的类型由AttributeType决定; 通常它将是一个 DirectoryString。 DirectoryString 类型被定义为 PrintableString、TeletexString、BMPStr
使用pyopenssl提取证书中的subjectAltName
村中少年的专栏
08-14 2629
本文介绍一下如何通过Python的pyopenssl模块解析证书的subjectAltName
证书的格式以及证书的知识点
rv0p111
12-16 471
在ios中是不能去使用PEM格式的证书的,而OpenSSL默认生成的都是PEM格式的证书 在ios开发中需要用到的是DER格式的证书也就是二进制编码格式的,而PEM则是Base64编码格式的 .der文件一般是包含公钥和一些其他的信息 以.p12为后缀的证书中包含私钥、公钥及其证书, 还有就是我们导出.p12文件的时候要去设计一个密码 .csr结尾的是一个证书请求文件,我们如果要
八、加密与解密原理
weixin_45761101的博客
05-21 6889
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
HTTPS协议、TLS协议、证书认证过程解析
小x的博客
12-08 899
参考文章:https://www.cnblogs.com/snowater/p/7804889.html 一、HTTPS 协议 HTTPS协议其实就是HTTP over TSL,TSL(Transport Layer Security) 传输层安全协议是https协议的核心。 TSL可以理解为SSL (Secure Socket Layer)安全套接字层的后续版本。 TSL握手协议如下图所示 (注:图片来源于google图片) 在建立TCP连接后,开始建立TLS连接。下面抓包分析TLS握手过程,抓包图片来源
CA和证书
Ruoshuiss的博客
10-07 2103
电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
【2.学习__签名证书和加密证书
jy0921
08-24 5155
实习期学习一些签名和加密的知识: ------------------------暂时先这样,有时间了再整理。学习的方法: 先学习证书文件内容、结构,再针对问题进行学习 证书相关的知识: 1. 证书的结构大致是什么样的? 证书的机构分为三部分: tbsCertificate: 包含 主题 和 发行者的名字,与主题联系起来的公开密钥,有效期和其他相关信息 signatu...
服务器证书查看证书序列号
u014532679的博客
08-03 638
查看服务器证书序列号
RSA证书各参数解析
最新发布
02-23
<think>嗯,用户让我介绍一下RSA证书各参数的解析。我需要先回忆一下RSA的基本原理和证书相关的知识。首先,RSA是非对称加密算法,涉及公钥和私钥。公钥包含模数n和公开指数e,私钥包含私有指数d,还有p和q两个大素数,可能还有其他参数比如dp、dq、qinv这些用于CRT加速的参数。 用户提到的是证书中的参数,所以可能不仅包括密钥本身,还可能涉及证书的结构,比如X.509证书中的字段。不过用户的问题可能更偏向于RSA密钥本身的参数,而不是证书的扩展字段。需要确认这一点,但可能用户混淆了证书和密钥的概念,不过RSA证书确实包含公钥信息,所以需要解释证书中的RSA公钥参数,以及可能的私钥参数。 首先,RSA的密钥生成过程是选择两个大素数p和q,计算n=p*q,然后选一个e与φ(n)=(p-1)(q-1)互质,再计算d=e⁻¹ mod φ(n)。所以公钥是(n, e),私钥是d,但实际私钥还会包含p、q等参数用于优化解密过程。 在X.509证书中,公钥部分通常以ASN.1结构存储,包括模数n和公开指数e。而私钥则可能包含更多的参数,比如p、q、d、dp、dq、qinv等,这些可能在PKCS#8或其他格式中。 需要详细解释每个参数的含义,比如n、e、d、p、q、dp、dq、qinv,可能还有φ(n)或者其它参数。另外,是否需要解释这些参数在加解密或签名中的应用方式? 另外,用户可能需要了解这些参数在证书文件中的表示方式,比如Base64编码的DER格式,或者PEM格式的结构。可能需要提到常见的文件扩展名,如.crt、.pem、.key等,但可能用户更关注参数本身而不是存储格式。 另外,需要注意安全性的相关点,比如p和q需要足够大,且为强素数,避免使用小的e值可能带来的风险,比如e=3可能容易受到某些攻击,所以现在常用的是65537(0x10001)。 还有可能提到的参数是密钥长度,即n的位数,比如2048位,这通常被用来表示RSA密钥的强度。证书中的公钥信息会明确给出模数和指数。 可能还需要区分证书中的参数和私钥文件中的参数,比如证书通常只包含公钥部分,而私钥文件包含私有的参数。所以需要明确说明哪些参数出现在公钥中,哪些在私钥中。 总结一下,我需要分公钥参数和私钥参数来介绍,可能的结构如下: 1. 公钥参数: - 模数n - 公开指数e 2. 私钥参数: - 私有指数d - 素数p和q - dp、dq、qinv(用于CRT) - 其他可能参数:exponents1, exponent2, coefficient(可能是dp、dq、qinv的别名) 另外,可能需要解释每个参数在RSA操作中的作用,比如加密时用(e, n),解密用d,而CRT参数用于加速计算。 还要注意这些参数在ASN.1中的编码方式,比如模数和指数通常以整数的形式存储,使用DER编码,再经过Base64编码后放入PEM文件。 此外,可能需要提到openssl等工具如何查看这些参数,比如使用openssl rsa -in private.key -text -noout可以查看私钥参数,而openssl x509 -in cert.crt -text -noout可以查看证书中的公钥参数。 最后,是否需要提醒用户保护私钥参数的重要性,因为一旦泄露会导致安全漏洞。但用户的问题可能更关注技术解析而非安全建议,但简短提及可能更好。 现在需要考虑如何组织这些信息,使其清晰易懂,分点解释每个参数,并说明其作用和相关注意事项。</think>RSA证书(通常指包含RSA密钥的X.509证书)中的参数主要分为**公钥参数**和**私钥参数**。以下是对各核心参数的详细解析: --- ### **一、公钥参数(证书中公开部分)** 1. **模数(Modulus, `n`)** - **定义**:两个大素数 `p` 和 `q` 的乘积,即 `n = p * q`。 - **作用**:RSA加密、解密和签名的计算均基于模数 `n`。密钥长度由 `n` 的位数决定(如2048位)。 - **存储**:在证书中以十六进制或Base64编码的大整数形式呈现。 2. **公开指数(Public Exponent, `e`)** - **定义**:与 `φ(n) = (p-1)(q-1)` 互质的一个小整数,通常为 `65537`(0x10001)。 - **作用**:用于加密或验证签名。加密时,明文通过 `c = m^e mod n` 生成密文。 --- ### **二、私钥参数(保密部分,不包含在证书中)** 1. **私有指数(Private Exponent, `d`)** - **定义**:满足 `d ≡ e⁻¹ mod φ(n)` 的整数,即 `e * d ≡ 1 mod φ(n)`。 - **作用**:用于解密或生成签名。解密时,密文通过 `m = c^d mod n` 恢复明文。 2. **素数 `p` 和 `q`** - **定义**:随机生成的两个大素数,且满足 `p ≠ q`。 - **作用**:生成模数 `n`,并为CRT加速计算提供基础。 3. **CRT参数(加快解密/签名速度)** - **`d_p`(dp)**:`d_p = d mod (p-1)` - **`d_q`(dq)**:`d_q = d mod (q-1)` - **`q_inv`**:`q` 的模逆元,满足 `q_inv ≡ q⁻¹ mod p` - **作用**:通过中国剩余定理(CRT)将解密运算拆分为两个小模数计算,大幅提升效率。 --- ### **三、其他关键参数** - **密钥长度**:由模数 `n` 的位数决定(如2048位)。越长安全性越高,但计算效率降低。 - **φ(n)**:`φ(n) = (p-1)(q-1)`,在密钥生成阶段使用,但通常不存储在证书或密钥文件中。 - **证书扩展字段**:X.509证书可能包含有效期、颁发者、主题等信息,但这些属于证书通用字段,与RSA算法无直接关联。 --- ### **四、参数存储格式示例** 1. **公钥证书(如.crt/.pem文件)**: ```plaintext RSA Public-Key: (2048 bit) Modulus: 00:aa:bb:cc...(大整数) Exponent: 65537 (0x10001) ``` 2. **私钥文件(如.key文件)**: ```plaintext Private-Key: (2048 bit) modulus: ...(同公钥的n) publicExponent: 65537 privateExponent: ...(d) prime1: ...(p) prime2: ...(q) exponent1: ...(d_p) exponent2: ...(d_q) coefficient: ...(q_inv) ``` --- ### **五、工具查看方法** - **查看证书公钥参数**: ```bash openssl x509 -in cert.crt -text -noout ``` - **查看私钥参数**: ```bash openssl rsa -in private.key -text -noout ``` --- ### **六、安全性注意事项** 1. **`p` 和 `q`** 必须为强素数,且长度相近但差异足够大,防止因 `n` 被分解导致密钥泄露。 2. **避免小 `e` 值**(如 `e=3`),可能易受低指数攻击。 3. **私钥必须严格保密**,泄露会导致加密体系完全失效。 通过理解这些参数,可以更好地管理RSA密钥对,并在实际应用中平衡安全性与性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值