15、Java平台安全中的证书与认证路径详解

Java平台安全中的证书与认证路径详解

1. 认证路径与信任建立

当用户没有与CA用于签署主体公钥证书的私钥相对应的公钥的可信副本时，就需要另一个为公钥证书签署CA提供担保的公钥证书。这种逻辑可以递归应用，直到发现从信任锚点（通常称为根证书，即最受信任的CA）到目标主体（通常称为终端实体）的证书链，也就是认证路径。

认证路径是从信任锚点到目标主体或终端实体的证书链。在这个链中，除了第一个证书外，每个证书都对前一个证书签署者的公钥进行身份验证。信任锚点通常由用户作为可信第三方（TTP）依赖的CA颁发的证书指定。使用这样的证书意味着信任签署该证书的实体。

一般来说，认证路径是一个有序的证书列表，通常包括终端实体公钥证书和零个或多个附加证书。认证路径通常有一个或多个编码，以便能够在网络和不同操作系统架构之间安全传输。

2. X.509证书概述

为了促进互操作性，国际电信联盟（ITU）创建了标准数字证书格式ITU - T X.509，也称为ISO/IEC/ITU 9594 - 8。X.509版本1（X.509 v1）最早作为X.500目录建议的一部分发布。X.500旨在定义一个全球分布式的命名实体数据库。

X.509证书将公钥绑定到可分辨名称（DN），这种证书常被称为身份证书。在X.500目录的上下文中，绑定的公钥用于验证试图修改目录条目的实体。此外，X.509证书在X.500范围之外也有其他应用。

3. X.500可分辨名称

X.500可分辨名称用于标识X.509证书的主体和颁发者（签署者）实体。以下是一个示例X.500 DN字符串：