| 当前位置:首页>>PKI与PMI>>数字证书>>正文 |
| X.509第三版的证书结构 |
| 文章出处:中国信息安全组织 [整理] 发布时间:2004-07-17 |
| |
版本号..................证书的版本标识符(例如,版本3)
序列号 ................标识证书的唯一整数
签名....................用于签证书的算法标识
颁发者 ................证书颁发者的唯一识别名
有效期 ................证书有效时间段
主体....................证书拥有者的唯一识别名
主体公钥信息 ........证书拥有者的公钥(和算法标识符)
颁发者唯一标识符........颁发者的可选唯一标识符
主体唯一标识符 ........主体的唯一识别符
扩展部分 ........可选的扩展
X.509第三版的证书结构
字段说明[2]:
①版本号—标识证书的版本(版本1、版本2或是版本3)。
②序列号—由证书颁发者分配的本证书的唯一标识符。
③签名 —签名算法标识符,由对象标识符加上相关的参数组成,用于说明本证书所用的数字签名算法。例如,SHA-1和RSA的对象标识符
就用来说明该数字签名是利用RSA对SHA-1杂凑加密。
④颁发者—证书颁发者的可识别名(DN),这是必须说明。
⑤有效期—证书有效期的时间段。本字段由”Not Before”和”Not After”两项组成,它们分别由UTC时间或一般的时间表示(在RFC2459中有详细的时间表示规则)。
⑥主体 —证书拥有者的可识别名,这个字段必须是非空的,除非你在证书扩展中有别名。
⑦主体公钥信息—主体的公钥(以及算法标识符),这一项必须说明。
⑧颁发者唯一标识符—证书颁发者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。
⑨主体唯 一标识符—证书拥有者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。
⑩扩展 —可选的标准和专用的扩展(仅在版本2和版本3中使用),它们包括:
◆Authority密钥标识符—证书所含密钥的唯一标识符,用来区分同一证书拥有者的多对密钥。
◆密钥使用—一个比特串,指明(限定)证书的公钥可以完成的功能或服务,如:证书签名、数据加密等。
◆扩展密钥使用—由一个或多个对象标识符(OIDs)组成,可以说明证书密钥的特殊用途。有Internet策略限定,存取描述符限定[3]等,请参见RFC2459。
◆CRL分布点—指明CRL的分布地点。
◆私钥的使用期—指明证书中与公钥相联系的私钥的使用期限,它也有Not Before和Not After组成。若此项不存在时,公私钥的使用期是一样的。
◆证书策略—由对象标识符和限定符组成,这些对象标识符说明证书的颁发和使用策略有关。
◆策略映射—表明两个CA域之间的一个或多个策略对象标识符的等价关系,仅在CA证书里存在。
◆主体别名—指出证书拥有者的别名,如电子邮件地址、IP地址等,别名是和DN绑定在一起的。
◆颁发者别名--指出证书颁发者的别名,如电子邮件地址、IP地址等,但颁发者的DN必须出现在证书的颁发者字段。
◆主体目录属性—指出证书拥有者的一系列属性。可以使用这一项来传递访问控制信息。
参考文献
1. <<公开密钥基础设施—概念、标准和实施>>,Carlisle Adame,Steve Lloyd 著,冯登国等译,人民邮电出版社,2001-1,P48-50。
|
| 作者: |
| 【返回顶部↑】 【推荐好友】 【查看评论】 |
|
|
|
|
|
|
|
