网站标题正确书写标准,梧州网站建设推荐,域名可以永久买断吗,链接收录CA#xff08;Certificate Authority#xff09;证书是由 证书颁发机构#xff08;CA#xff09;本身签名的。具体来说#xff0c;这取决于 CA 的类型和其在信任链中的位置#xff1a; 1. 自签名证书
根 CA 证书 是信任链的起点#xff0c;由 CA 自己签名。它们是信任链…CACertificate Authority证书是由 证书颁发机构CA本身签名的。具体来说这取决于 CA 的类型和其在信任链中的位置 1. 自签名证书
根 CA 证书 是信任链的起点由 CA 自己签名。它们是信任链的基础浏览器或操作系统通过内置的信任列表信任这些根证书。根证书签名过程 使用 CA 的私钥对其证书的内容进行签名。验证时使用该 CA 的公钥即可验证签名。 2. 中间 CA 证书
中间 CA 证书 是由上一级 CA 签名的。中间 CA 的签名过程 上一级 CA 使用其私钥对中间 CA 的证书进行签名。这样中间 CA 证书与根证书构成信任链。中间 CA 证书减少了根证书私钥的使用频率从而提高了安全性。 3. 最终用户证书
最终用户证书例如网站的 SSL/TLS 证书是由中间 CA 签名的。它们位于信任链的末端为具体的实体如网站或组织提供身份验证。最终用户证书的签名过程 中间 CA 使用其私钥对用户证书签名。通过中间 CA 证书和根 CA 证书验证信任链完整性。 信任链示例
以下是一个典型的信任链
根 CA 自签名 →中间 CA 由根 CA 签名 →最终用户证书 由中间 CA 签名。 总结
根 CA 证书 是自签名的由 CA 自己签名。中间 CA 和最终用户证书 是由上一级 CA 签名的。浏览器或操作系统信任的根 CA 证书构成信任链的基础通过逐级验证签名最终信任用户证书。 以下是一个典型的 X.509 证书的例子以及对其中字段的详细解析 证书例子PEM 格式
-----BEGIN CERTIFICATE-----
MIIDdzCCAlgAwIBAgIEUjGH3zANBgkqhkiG9w0BAQsFADB1MQswCQYDVQQGEwJV
UzELMAkGA1UECBMCTkMxEzARBgNVBAcTClNvbWV3aGVyZTEXMBUGA1UEChMOSGVs
bG8gQ29ycC4xEjAQBgNVBAMTCXNvbWVjZXJ0MB4XDTIzMDEwMTAwMDAwMFoXDTMz
MDEwMTAwMDAwMFowdTELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAk5DMRMwEQYDVQQH
EwpTb21ld2hlcmUxFzAVBgNVBAoTDkhlbGxvIENvcnAuMRIwEAYDVQQDEwlsb2Nh
bGhvc3QwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDWmIz1q1HxkbD
...
-----END CERTIFICATE-----字段解析
X.509 证书包含多个字段这些字段可以通过解析工具或代码提取查看。
1. 版本Version
Version: 3标记证书使用的 X.509 版本号。当前标准为版本 3。 2. 序列号Serial Number
Serial Number: 159753唯一标识证书的整数值。由颁发机构分配用于区分其签发的每张证书。 3. 签名算法Signature Algorithm
Signature Algorithm: sha256WithRSAEncryption描述用于对证书签名的算法如 SHA-256 RSA。 4. 发行者Issuer
Issuer: CUS, STNC, OHello Corp., CNsomecert颁发证书的 CA 信息 C: 国家CountryST: 州或省State/ProvinceO: 组织OrganizationCN: 公共名称Common Name 5. 有效期Validity
Not Before: Jan 1 00:00:00 2023 GMT
Not After : Jan 1 00:00:00 2033 GMT指定证书的生效时间和过期时间。 6. 主题Subject
Subject: CUS, STNC, OHello Corp., CNlocalhost持有证书实体的信息例如网站、用户或设备 与 Issuer 字段的格式类似。 7. 主公钥Subject Public Key Info
Subject Public Key Info:Public Key Algorithm: rsaEncryptionRSA Public-Key: (2048 bit)Modulus:00:b7:31:e5:91:21:3d:...Exponent: 65537 (0x10001)包含证书持有者的公钥信息 公钥算法如 RSA、ECDSA。模数Modulus用于 RSA 公钥。指数Exponent通常为 65537。 8. 扩展字段Extensions
扩展字段为版本 3 中新增包含额外信息。
基本约束Basic Constraints
X509v3 Basic Constraints: criticalCA:TRUECA:TRUE 表示该证书是 CA 证书。
密钥用途Key Usage
X509v3 Key Usage: criticalDigital Signature, Certificate Sign定义证书的用途如签名、密钥加密、证书签发。
扩展密钥用途Extended Key Usage
X509v3 Extended Key Usage:TLS Web Server Authentication, TLS Web Client Authentication特定用途的扩展 TLS Web Server AuthenticationHTTPS 服务器验证。TLS Web Client Authentication客户端验证。
主题备用名称Subject Alternative Name, SAN
X509v3 Subject Alternative Name:DNS:example.com, DNS:www.example.com, IP Address:192.168.1.1定义证书绑定的域名和 IP 地址。 9. 签名Signature
Signature Algorithm: sha256WithRSAEncryption
Signature Value:72:a3:12:...:e5CA 使用其私钥对证书的签名。验证时使用 CA 的公钥检查签名是否有效。 工具解析 X.509 证书
OpenSSL
openssl x509 -in certificate.pem -text -noout结果输出示例
Certificate:Data:Version: 3 (0x2)Serial Number:01:02:03:04Signature Algorithm: sha256WithRSAEncryptionIssuer: CUS, OExample CAValidityNot Before: Jan 1 00:00:00 2023 GMTNot After : Jan 1 00:00:00 2033 GMTSubject: CUS, OExample Organization, CNexample.comSubject Public Key Info:Public Key Algorithm: rsaEncryptionRSA Public-Key: (2048 bit)Modulus:00:c1:23:...Exponent: 65537 (0x10001)X509v3 extensions:X509v3 Basic Constraints:CA:FALSEX509v3 Key Usage:Digital Signature, Key EnciphermentX509v3 Subject Alternative Name:DNS:example.com, DNS:www.example.com总结
X.509 证书包含详细的字段用于身份验证、安全通信等任务。它通过 Issuer颁发者、Subject持有者、Public Key Info公钥信息等核心字段构建信任链同时扩展字段如 SAN、Key Usage定义其具体用途。 X.509 证书的签名过程是对证书的特定字段进行摘要处理然后使用证书颁发机构CA的私钥对摘要结果进行加密。签名用于验证证书的完整性和来源。 签名是对哪些字段实行摘要处理
签名涵盖的是证书的TBSTo Be Signed部分即证书主体部分。以下是具体包括的字段
1. 版本号Version
指示 X.509 证书的版本通常为 3。
2. 序列号Serial Number
证书的唯一标识。
3. 签名算法标识符Signature Algorithm Identifier
表示 CA 选择的签名算法例如 sha256WithRSAEncryption。
4. 发行者信息Issuer
描述颁发证书的 CA 信息包括组织名称、国家代码等。
5. 有效期Validity
包括两个子字段 Not Before证书的起始生效时间。Not After证书的过期时间。
6. 持有者信息Subject
描述证书持有者的信息如域名、组织、邮箱等。
7. 主公钥信息Subject Public Key Info
包括 公钥算法如 RSA、ECDSA 等。公钥内容例如 RSA 的模数和指数。
8. 扩展字段Extensions版本 3 特有
包括 基本约束Basic Constraints密钥用途Key Usage扩展密钥用途Extended Key Usage主题备用名称Subject Alternative Name, SAN其他扩展。 签名流程 确定 TBS 部分 将上述字段按照 ASN.1 编码DER 格式组合为一个二进制数据。 生成摘要 使用指定的摘要算法如 SHA-256对 TBS 部分生成消息摘要。 签名摘要 使用 CA 的私钥对消息摘要加密生成签名。 添加到证书 将签名值和签名算法附加到证书。 验证流程
从证书中提取 TBS 部分。根据证书中的签名算法对 TBS 部分重新计算摘要。使用 CA 的公钥解密签名值。比较解密后的值与重新计算的摘要若一致则签名验证通过。 不包括的字段
签名过程不涵盖以下字段
签名字段本身签名是对 TBS 之外生成的因此签名字段本身不被包含。任何动态字段例如证书的外部注释或额外的元信息。
通过这种方式证书的签名确保了上述字段的完整性和不可篡改性。 浏览器验证证书的真实性时会依据以下字段进行 CA 的查找和验证 证书验证过程的关键字段 Issuer 字段 该字段标明证书的颁发者Certificate Authority, CA包括其国家C、组织名称O和通用名称CN。作用浏览器通过 Issuer 字段确定证书是由哪个 CA 签发的。 Subject Public Key Info 包含公钥信息用于验证签名的正确性。作用浏览器利用 CA 的公钥来解密证书签名确认它是否由声明的 CA 签发。 Signature 包含证书数据的数字签名由 CA 的私钥生成。作用通过数字签名验证证书内容是否完整且未被篡改。 Certificate Chain 每张证书会包含其 Issuer而浏览器会递归查找 CA 的上级证书直到找到可信任的根证书。作用形成一个证书链从服务器证书到受信任的根 CA。 Authority Information Access (AIA) 扩展 可选字段通常指向一个 URL包含颁发 CA 的公钥证书。作用如果证书链中间部分缺失浏览器可以通过 AIA URL 自动下载并补充。 浏览器的验证步骤 解析证书的 Issuer 字段 查找与 Issuer 中描述的 CA 匹配的证书。在本地的受信任根 CA 存储中查找也可能通过 AIA 扩展或在线资源下载。 验证数字签名 使用上一级 CA 的公钥验证证书的签名是否正确。例如浏览器会用上级 CA 的公钥解密当前证书的签名并比较解密结果和当前证书的内容摘要。 检查证书链 确认证书链是否完整所有中间证书是否与声明的 CA 一致。从服务器证书开始逐级验证每一级 Issuer 是否在本地或受信任的根 CA 列表中。 验证信任关系 确认最终的根 CA 是否在浏览器的受信任 CA 列表中。例如Mozilla, Microsoft, 和 Apple 会预装受信任 CA 列表。 检查证书有效期 验证证书是否在 Not Before 和 Not After 规定的时间范围内。 检查吊销状态 检查是否通过 CRL证书吊销列表或 OCSP在线证书状态协议标记为吊销。 总结
浏览器根据证书的 Issuer 字段结合 CA 的公钥验证签名确保真实性。然后通过 Certificate Chain 找到根证书确保整个信任链是可信的。最终通过校验数字签名和证书吊销状态判断证书的真实性和有效性。 CT Precertificate SCTs (Signed Certificate Timestamps) 解析
Signed Certificate Timestamps (SCTs) 是与证书透明性 (Certificate Transparency, CT) 相关的重要数据结构。它们是由公开日志服务器签名的时间戳用于证明证书已经提交到 CT 日志中。这些信息对防止不受信任的证书的滥发非常关键。 字段解析
1. CT Precertificate SCTs
CT Precertificate SCTs 是证书透明性的一个组成部分。它们包含以下信息 Version 显示 SCT 的版本。示例: v1 (0x0) 表示使用 CT 的第一版协议。 Log ID 由日志服务器生成的唯一标识符用于识别该 SCT 是由哪个日志服务器生成的。示例: 76:FF:88:3F:0A:B6:FB:95:51:C2:61:CC:F5:87:BA:34:
B4:A4:CD:BB:29:DC:68:42:0A:9F:E6:67:4C:5A:3A:74Timestamp 记录提交到日志服务器的时间戳。格式标准的 GMT 时间。示例: Sep 7 14:55:38.911 2024 GMT。 Extensions 扩展字段通常为空 (none)。 Signature 使用 ecdsa-with-SHA256 签名算法对 SCT 进行签名确保完整性和真实性。签名数据: 30:44:02:20:1E:C0:96:A9:37:83:29:3E:08:BE:F5:3D:...2. 两个示例 SCT
在实际的证书中通常包含多个 SCT这些 SCT 来自不同的日志服务器。每个 SCT 包括上述字段的信息。 SCT 的作用 保证证书提交到 CT 日志 SCT 是对证书已经提交到日志服务器的证明目的是让证书的存在公开化。 增强信任 浏览器可以通过验证 SCT 确认证书的合法性进而决定是否信任该证书。 防止证书滥发 强制要求证书颁发机构 (CA) 在发放证书时提交到 CT 日志帮助检测和防范未经授权的证书。 如何验证 SCT 使用 OpenSSL OpenSSL 无法直接验证 SCT但可以解析证书并检查 SCT 是否存在。 使用专用工具 工具如 certigo 或 crt.sh 等可直接验证证书中的 SCT 信息。 手动解析并验证 提取证书中的 SCT验证签名是否匹配日志服务器的公钥。 SCT 的上下文示例
在现代 HTTPS 环境下CT 和 SCT 是证书生态系统的重要组成部分尤其是在防范证书滥发和透明性方面。例如
Google Chrome 等浏览器要求证书必须附带 SCT否则将提示“不受信任”。
这种机制对增强网络安全具有重要意义。 文章转载自: http://www.morning.smcfk.cn.gov.cn.smcfk.cn http://www.morning.gyqnp.cn.gov.cn.gyqnp.cn http://www.morning.xdjwh.cn.gov.cn.xdjwh.cn http://www.morning.3jiax.cn.gov.cn.3jiax.cn http://www.morning.ldnrf.cn.gov.cn.ldnrf.cn http://www.morning.gwmjy.cn.gov.cn.gwmjy.cn http://www.morning.wslpk.cn.gov.cn.wslpk.cn http://www.morning.smnxr.cn.gov.cn.smnxr.cn http://www.morning.kcrw.cn.gov.cn.kcrw.cn http://www.morning.pfnlc.cn.gov.cn.pfnlc.cn http://www.morning.bfjyp.cn.gov.cn.bfjyp.cn http://www.morning.pzlhq.cn.gov.cn.pzlhq.cn http://www.morning.xwnnp.cn.gov.cn.xwnnp.cn http://www.morning.nzfqw.cn.gov.cn.nzfqw.cn http://www.morning.qhnmj.cn.gov.cn.qhnmj.cn http://www.morning.zdgp.cn.gov.cn.zdgp.cn http://www.morning.blxlf.cn.gov.cn.blxlf.cn http://www.morning.xckrj.cn.gov.cn.xckrj.cn http://www.morning.clhyj.cn.gov.cn.clhyj.cn http://www.morning.benqc.com.gov.cn.benqc.com http://www.morning.ylqrc.cn.gov.cn.ylqrc.cn http://www.morning.bndkf.cn.gov.cn.bndkf.cn http://www.morning.zpnfc.cn.gov.cn.zpnfc.cn http://www.morning.byshd.cn.gov.cn.byshd.cn http://www.morning.jpydf.cn.gov.cn.jpydf.cn http://www.morning.pjwrl.cn.gov.cn.pjwrl.cn http://www.morning.jkfyt.cn.gov.cn.jkfyt.cn http://www.morning.qdxkn.cn.gov.cn.qdxkn.cn http://www.morning.xmnlc.cn.gov.cn.xmnlc.cn http://www.morning.zcqbx.cn.gov.cn.zcqbx.cn http://www.morning.lcmhq.cn.gov.cn.lcmhq.cn http://www.morning.ctpfq.cn.gov.cn.ctpfq.cn http://www.morning.sjwiki.com.gov.cn.sjwiki.com http://www.morning.jmmz.cn.gov.cn.jmmz.cn http://www.morning.mmkrd.cn.gov.cn.mmkrd.cn http://www.morning.jxdhc.cn.gov.cn.jxdhc.cn http://www.morning.wtsr.cn.gov.cn.wtsr.cn http://www.morning.rnnts.cn.gov.cn.rnnts.cn http://www.morning.rynrn.cn.gov.cn.rynrn.cn http://www.morning.xbbrh.cn.gov.cn.xbbrh.cn http://www.morning.nbmyg.cn.gov.cn.nbmyg.cn http://www.morning.tmbtm.cn.gov.cn.tmbtm.cn http://www.morning.xrlwr.cn.gov.cn.xrlwr.cn http://www.morning.qqhmg.cn.gov.cn.qqhmg.cn http://www.morning.nd-test.com.gov.cn.nd-test.com http://www.morning.jpzcq.cn.gov.cn.jpzcq.cn http://www.morning.nqcwz.cn.gov.cn.nqcwz.cn http://www.morning.hrtct.cn.gov.cn.hrtct.cn http://www.morning.ssfq.cn.gov.cn.ssfq.cn http://www.morning.rdsst.cn.gov.cn.rdsst.cn http://www.morning.pcgmw.cn.gov.cn.pcgmw.cn http://www.morning.iuibhkd.cn.gov.cn.iuibhkd.cn http://www.morning.rwbx.cn.gov.cn.rwbx.cn http://www.morning.heleyo.com.gov.cn.heleyo.com http://www.morning.qkxnw.cn.gov.cn.qkxnw.cn http://www.morning.fwlch.cn.gov.cn.fwlch.cn http://www.morning.fmgwx.cn.gov.cn.fmgwx.cn http://www.morning.bqppr.cn.gov.cn.bqppr.cn http://www.morning.gsksm.cn.gov.cn.gsksm.cn http://www.morning.jzkqg.cn.gov.cn.jzkqg.cn http://www.morning.jbhhj.cn.gov.cn.jbhhj.cn http://www.morning.prysb.cn.gov.cn.prysb.cn http://www.morning.rjrh.cn.gov.cn.rjrh.cn http://www.morning.dyxlm.cn.gov.cn.dyxlm.cn http://www.morning.ypmqy.cn.gov.cn.ypmqy.cn http://www.morning.fxzw.cn.gov.cn.fxzw.cn http://www.morning.xstfp.cn.gov.cn.xstfp.cn http://www.morning.rtryr.cn.gov.cn.rtryr.cn http://www.morning.hkchp.cn.gov.cn.hkchp.cn http://www.morning.fylsz.cn.gov.cn.fylsz.cn http://www.morning.xmhpq.cn.gov.cn.xmhpq.cn http://www.morning.fktlg.cn.gov.cn.fktlg.cn http://www.morning.nrchx.cn.gov.cn.nrchx.cn http://www.morning.yrqb.cn.gov.cn.yrqb.cn http://www.morning.aishuxue.com.cn.gov.cn.aishuxue.com.cn http://www.morning.lwlnw.cn.gov.cn.lwlnw.cn http://www.morning.rdxp.cn.gov.cn.rdxp.cn http://www.morning.swkzr.cn.gov.cn.swkzr.cn http://www.morning.btns.cn.gov.cn.btns.cn http://www.morning.wwxg.cn.gov.cn.wwxg.cn
