X.509

X.509 er en ITU-T standard for offentlige nøgle infrastrukturer. X.509 definerer blandt andet, standardformater til offentlige nøglecertifikater, tilskriver certifikater og en certificering sti validering algoritme.

Historie og brug

X.509 blev præsenteret for første gang i 1988 og dens udvikling begyndte med X.500-standarden. Den første version var baseret på en strengt system af hierarki af certifikat myndighed til at præsentere og give et certifikat, i modsætning til modellen for den tillid netværk, der bruges af PGP, hvor alle kan underskrive og derefter attestere overensstemmelsen mellem en offentlig nøgle og emnet, som det tilhører.

Version 3 af X.500 indeholder den fleksibilitet typisk for andre typer af netværk og filtre: kan bruges i et netværk af betroede peer-to-peer-netværk såsom OpenPGP, selv om det sjældent gennemføres på denne måde. Det X.500-systemet er aldrig blevet fuldt gennemført, og IETF og public-key infrastruktur arbejdsgruppe har tilpasset standarden med en mere fleksibel struktur tilpasset til internettet. Faktisk udtrykket X.509-certifikat henviser sædvanligvis til profilen af ​​certifikater og lister over tilbagekaldte certifikater baseret på X.509 standarden IETF v3, som beskrevet i RFC 5280.

Certifikater

I X.509-systemet, et CA udsteder et certifikat bindende en offentlig nøgle til et navn badge i traditionen fra X.500, eller til et alternativt navn, såsom en e-mail-adresse eller et DNS-post.

En pålidelig rodcertifikat til en virksomhed kan distribueres til alle medarbejdere, så de kan bruge virksomhedens PKI. Browsere som Internet Explorer, Netscape / Mozilla og Opera er fordelt med nogle rodcertifikat forudinstalleret, så driften af ​​SSL-certifikater for flere store distributører, som har betalt for denne service; i praksis dem, der udvikler browseren bestemmer, hvilke CA'er er betroet tredjepart. På trods af disse rodcertifikater kan fjernes eller deaktiveres, brugere sjældent gør.

X.509 indeholder også standarder for gennemførelsen af ​​certifikat tilbagekaldt liste, en ofte overset aspekt af PKI-systemer. Procedurerne for kontrol af gyldigheden af ​​et certifikat, der er godkendt af IETF kaldes Online Certificate Status Protocol.

Opbygning af et certifikat

Strukturen af ​​et digitalt certifikat X.509 v3 er som følger:

  • Certifikat
    • Version
    • Serienummer
    • ID algoritme
    • Krop emitter
    • Gyldighed
      • Ikke før
      • Ikke efter
    • Emne
    • Oplysninger om offentlig nøgle af emnet
      • Algoritme til brugen af ​​den offentlige nøgle
      • Public Key
    • Et id unikt til udstederen
    • En identifikator er unik for emnet
    • Udvidelser
      • ...
  • Signature Algorithm Certifikat
  • Certifikat signatur

Den identifikationskoder unikke emitter og emne blev introduceret i version 2, i den version 3 af "Extensions".

Fælles udvidelser til filer, der indeholder X.509-certifikater:

  • .CER - DER kodet certifikat, til tider sekvens af certifikater;
  • .der - DER kodet certifikat;
  • .pem - Med Base64 kodet certifikat, indesluttet i "BEGIN certifikat" og "END certifikat";
  • .P7B - Vedi.p7c
  • .p7c - PKCS # 7 SignedData struktur uden data, kun / attesten / I / CRL;
  • .PFX - Vedi.p12
  • .p12 - PKCS # 12, kan indeholde certifikater og offentlige og private nøgler;

PKCS # 7 er en standard til signering eller kryptering af data. Da du har brug for et certifikat for at kontrollere signerede data, er det muligt at inkludere dem i et SignedData struktur. En file.P7C er intet mere end en struktur SignedData "degenereret".

PKCS # 12 PFX er født af standard og bruges til at udveksle offentlige og private genstande i samme fil.

En file.PEM kan indeholde certifikater eller private nøgler, lukkede i de relevante linjer BEGIN / END.

Enheder i X.509

Der findes forskellige typer af enheder:

  • Certificeringsmyndighed: udsteder certifikater, CRL genererer, genererer momentnøgle Pb og Pr, bekræfter, at hver bruger anmoder om udstedelse af dens certifikat er i besiddelse af den tilsvarende private nøgle, kontrollerer det unikke i nøglen Pb.
  • Lokale registreringsmyndigheder: Nogle CA kræver den fysiske tilstedeværelse af slutbrugeren, og derfor LRA spiller rollen som mellemmand, som løser dette problem.
  • Root Authority er den myndighed, der er ansvarlig for at godkende den politik for global certificering. Normalt bruges til at certificere andre CA'er, ikke brugere.
  • Politik Authority certificering: at skabe for visse grupper af brugere, udvidelser af certificering politikker anført oprindeligt.
  • Slutbrugeren: genererer og kontrollerer dokumenter underskrevet

Certificeringsmyndighed

  • CAcert
  • Startssl
  • Thawte
  • VeriSign
Forrige artikel XDA Developers
Næste artikel XIV Milan Triennale