Certyfikat X.509

Certyfikat klucza publicznego X.509 (ang. X.509 public key certificate) – certyfikat klucza publicznego stosowany w architekturze X.509.

Certyfikat X.509 składa się z następujących struktur:

  • tbsCertificate – kontener zawierający właściwą treść certyfikatu, podlegający podpisaniu (to be signed) przez urząd certyfikacji
    • Version – wartość 0 dla X.509v1, wartość 2 dla obecnie obowiązującej wersji X.509v3
    • Serial Number – dodatnia liczba całkowita stanowiąca unikatowy identyfikator certyfikatu wydany w ramach danego urzędu certyfikacji
    • Signature – algorytm kryptograficzny, jakiego urząd certyfikacji użył do złożenia podpisu pod strukturą tbsCertificate; wartość ta jest powtórzeniem pola Signature Algorithm umieszczonego na zewnątrz struktury tbsCertificate, gwarantując jego autentyczność
    • Issuer – opis urzędu certyfikacji w notacji X.500
    • Validity – data i czas UTC początku ważności certyfikatu oraz końca jego ważności (data i czas od roku 2050 muszą być podane w formacie GeneralizedTime zamiast UTC)
    • Subject – opis podmiotu (właściciela certyfikatu) w notacji X.500
    • Subject Public Key Info – struktura zawierająca ciąg bitów klucza publicznego podmiotu oraz opis algorytmu kryptograficznego zapisany jako jego OID
    • Extensions – rozszerzenia ograniczające sposób korzystania z certyfikatu oraz sposób weryfikacji ścieżki certyfikacji
  • Signature Algorithmalgorytm kryptograficzny, jakiego urząd certyfikacji użył do złożenia podpisu pod strukturą tbsCertificate
  • Signature Value – ciąg bitów zawierający wartość podpisu cyfrowego

Powyższa struktura może być różnie opisywana, w zależności od zastosowanej notacji ASN.1. Powyżej przedstawiona jest notacja zgodna z RFC 5280[1].

Certyfikaty X.509 są zapisywane za pomocą kodowania BER, dającego w wyniku plik binarny. Dla ułatwienia transportu w kanałach obsługujących tylko ASCII (np. email) stosuje się kodowanie Base64 (format PEM – Privacy Enhanced Email). Rozszerzenia przyjęte tradycyjnie dla certyfikatów w formacie BER to .crt oraz .cer, dla formatu PEM – .pem.

Przypisy

Linki zewnętrzne

  • D.D. Cooper D.D. i inni, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, RFC 5280, IETF, maj 2008, DOI: 10.17487/RFC5280, ISSN 2070-1721, OCLC 943595667  (ang.).