轻松把握X.509数字证书全分析，附赠权威详解资料！一读通透，安全之旅从此 ...

我们常见的.pem、.pfx 后缀的文件就是X.509证书，X.509是最广泛使用的数字证书格式，由X.509尺度界说，用于身份验证和加密。在互联网上，如HTTPS、SSL/TLS等安全通信中，服务器通常使用X.509证书来证实其身份。你真得了解X.509证书么？它有哪些字段？分别代表着什么含义？它又有哪些存储格式呢？
  1. 概念

X.509证书是一种遵循X.509尺度(RFC 5280)的数字证书，用于验证网络通信中的实体身份。它包罗了公钥、证书认证机构（CA）信息、有用期、序列号以及证书持有者的其他元数据。X.509证书广泛用于HTTPS、S/MIME、SSL/TLS等安全协议中，以确保通信双方的身份真实性。
   X.509证书和证书是信息安全领域中常用的两种概念，它们之间有着紧密的联系（都用于身份验证和数据加密，可增强网络通信的安全性），但也存在显着区别。X.509证书是一种具体类型的证书，遵循特定的尺度化格式。证书这个术语更通用，泛指任何用来证实身份或全部权的电子文件，不仅仅局限于X.509尺度。除了X.509证书，还有其他类型的证书，如PGP证书（用于PGP加密体系），用于验证密钥的归属。
  接下来先容 X.509证书会使用到一些常用术语。这些术语比较底子，大家看到笔墨形貌就能理解。若想了解更多关于X.509证书的细节，可以参阅如下尺度文档(访问暗码: 6277)：

• RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.pdf （英文文档，适用于英文阅读能力好同砚）
  
• GB/T 20518-2018 信息安全技能 公钥底子设施 数字证书格式.pdf （中文文档，国家尺度）
  

1.1. 证书认证机构（CA）

CA（Certifcate Authority）是指受用户信任，负责创建和分配证书的权威机构。证书认证机构也可以为用户创建密钥。比如大家经常访问的百度网站的https证书就是由 GlobalSign 认证机构颁发的。

一些着名的CA机构如下：

• VeriSign：美国的一家领先提供商，提供SSL/TLS证书和企业验证服务，如DigiCert和GeoTrust。
  
• Thawte：曾是环球最大的SSL证书提供商之一，2000年初 VeriSign 以 5.76亿美元收购 Thawte，Thawte 成为了 VeriSign 的全资子公司。
  
• Symantec：提供全面的网络安全办理方案，包括SSL/TLS证书（现名DigiCert）。
  
• Comodo：以其经济实惠的SSL证书而着名，广泛用于中小企业和个人网站。
  
• GlobalSign：提供数字证书和安全服务，支持各种行业尺度。
  
• Let’s Encrypt：非营利组织，提供免费的SSL/TLS证书，促进互联网的加密使用。
  
• DigiCert：通过并购扩张，提供高级别的安全证书和服务。
  
• Cisco Web Security Academy：专注于企业网络安全的证书，如CCNA Cybersecurity等。
  

这些机构通常会颁发包括SSL/TLS（如HTTPS）、EV SSL（扩展验证，用于增强网站的信任度）、代码签名（验证软件开发者身份）等多种类型的证书。每个证书都有其适用场景和特点，选择时要考虑安全性、本钱和合规性等因素。
1.2. 自签名证书

信任来源于证书本身的证书就是自签名证书。自签名证书可以是CA证书，也可以是叶证书。自签名并不肯定意味着证书不如CA签名的证书可信，它只是意味着你直接信任证书，而不是信任签名实体。
1.3. 根证书

证书链真相的最终来源。根证书是自签名的，这意味着他们信任自己，也可以签订其他证书。因为它们是其他应用程序信任的根源，以是通常对如何存储和轮换它们有严酷的要求。
   根CA是一种签名CA。
  1.4. 证书链

证书链实质上是信任链，从根CA到叶子证书，在中心有肯定命量的CA。
举个简单例子，信任链就像当你找到工作时，因为你哥哥室友的表弟在你申请工作时为你担保。此案例中信任链是这样的：表弟 [信任] 室友 [信任] 兄弟 [信任] 你。这里你就是要求被信任的叶子证书，你哥哥室友的表弟就是根CA。
1.5. PKI

PKI（Public Key Infrastructure）即公钥底子设施，是处置处罚托管CA和签订证书的呆板，提供鉴别、加密、完整性和不能否认性服务。
2. 证书字段

X.509 证书尺度有三个增量版本，每个后续版本都向尺度添加了证书字段：

• 1988 年发布的版本 1 (v1)，遵循证书的初始 X.509 尺度。
  
• 1993 年发布的版本 2 (v2)，向版本 1 中包罗的字段添加了两个字段。
  
• 2008 年发布的版本 3 (v3)，即 X.509 尺度的当前版本。 此版本添加了对证书扩展名的支持。
  

下表中列出了证书的字段简单先容，方便大家对其有一个基本认识，若想了解更多有关证书字段和证书扩展名的具体信息（包括数据类型、束缚和其他具体信息），可参阅 RFC 5280 规范。
名称说明引入版本版本标识证书版本号的整数。v1序列号一个整数，表现证书颁发机构 (CA) 颁发的每个证书的唯一编号。v1SignatureCA 用来签订证书的加密算法的标识符。 该值包括算法的标识符和该算法使用的任何可选参数（如果适用）。v1颁发者发证 CA 的证书的可分辨名称 (DN)。v1有用期证书有用的非独占时间段。v1主题证书使用者的可分辨名称 (DN)。v1使用者公钥信息证书使用者拥有的公钥。v1颁发者唯一 ID表现发证 CA 的唯一标识符，由发证 CA 界说。此字段很少使用v2使用者唯一 ID辨识证书使用者的唯一标识符，由发证 CA 界说。此字段很少使用v2证书扩展尺度和 Internet 特定证书扩展名的聚集。 有关可用于 X.509 v3 证书的证书扩展名的具体信息，请参阅证书扩展名。v3 X.509 v3 中引入的证书扩展提供了将更多属性与用户或公钥关联的方法，以及管理证书颁发机构之间的关系的方法，扩展字段先容如下：

X.509 证书样例：聪明的你肯定能看出如下证书是哪个版本的

3. 证书格式

日常中可采用多种格式保存证书，如用隐私增强邮件 (PEM) 和个人信息互换 (PFX) 格式，下表形貌了证书的常用文件格式及其说明。
格式说明二进制证书DER格式的证书文件通常具有.der 或 .cer 后缀，DER（Distinguished Encoding Rules，显式编码规则）ASN.1 编码的原始格式二进制证书，广泛用于数字证书的编码和传输。ASCII PEM 证书PEM (Privacy Enhanced Mail，隐私增强邮件) 证书 (.pem) 文件包罗以-----BEGIN CERTIFICATE-----开头且以 -----END CERTIFICATE----- 末端的 Base64 编码证书。ASCII PEM 密钥包罗 Base64 编码的 DER 密钥，可以选择包罗有关用于暗码掩护的算法的其他元数据。PKCS #7 证书一种用于传输已签名或已加密数据的格式。 它可以包括整个证书链。 RFC 2315 界说此格式。此格式只包罗证书文件，不含私钥信息。PKCS #8 密钥私钥存储的格式。 RFC 5208 界说此格式。PKCS #12 密钥和证书一种复杂的格式，可以存储和掩护密钥和整个证书链。 它通常与 .p12 或 .pfx 扩展名一起使用。 PKCS #12 等同于 PFX 格式。 RFC 7292 界说此格式。此格式的证书包罗了私钥信息。   PKCS（Public-Key Cryptography Standards）是由美国RSA数据安全公司及其合作同伴订定的一组公钥暗码学尺度，其中包括证书申请、证书更新、证书取消表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相干协议。
  X.509 证书样例（pem格式）：

1. -----BEGIN CERTIFICATE-----
2. MIIHFTCCBf2gAwIBAgIQDpLsxHpKWwGypoFVSN8UOjANBgkqhkiG9w0BAQsFADBM
3. MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSYwJAYDVQQDEx1E
4. aWdpQ2VydCBTZWN1cmUgU2l0ZSBDTiBDQSBHMzAeFw0yNDAzMTkwMDAwMDBaFw0y
5. NTA0MTYyMzU5NTlaMIGUMQswCQYDVQQGEwJDTjEbMBkGA1UECBMSR3Vhbmdkb25n
6. IFByb3ZpbmNlMREwDwYDVQQHEwhTaGVuemhlbjE6MDgGA1UEChMxU2hlbnpoZW4g
7. VGVuY2VudCBDb21wdXRlciBTeXN0ZW1zIENvbXBhbnkgTGltaXRlZDEZMBcGA1UE
8. AxMQbXAud2VpeGluLnFxLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoC
9. ggEBANxO6WinPa7FSfoQsDzrySWpMOdYkk3TUlXfXQOCxrcrTbPxhLAk8sFJG0qV
10. QaGB0oLNHPt2IyZVbgluIDLzJedo/MMmW5qNlmNw2dUdd2duTjHF7ay38Y+ynY16
11. eeXde4GjjYSQgVmOGOYdjRW8h/0KGToxzY6SgFUWL7qgjLgq4epjlw32rzZwsCPy
12. qvElWOXdv95cGFdyu+Yi8x6EZdE80p+/FsQNj9WOQQYhJU/IkFLWLRMAa7LV1wWQ
13. Hq0CmoenU599sNh98Nd+Xv7B7uAqXPaoELSz3raR/Jef7F+8ztpalbxkCowD6X39
14. geHA0yy2lJ2Hh1glcJmzD+ymbLsCAwEAAaOCA6gwggOkMB8GA1UdIwQYMBaAFETZ
15. yEozjtNSjaeSlGEfmsilt+zLMB0GA1UdDgQWBBQGD/I/ZxIkZpd1bvJm85YFkseX
16. zDCBowYDVR0RBIGbMIGYghBtcC53ZWl4aW4ucXEuY29tghMqLmFwaS53ZWl4aW4u
17. cXEuY29tghIqLm1wLndlaXhpbi5xcS5jb22CFCoub3Blbi53ZWl4aW4ucXEuY29t
18. ggwqLndlY2hhdC5jb22CDyoud2VpeGluLnFxLmNvbYITbXAud2VpeGluYnJpZGdl
19. LmNvbYIRc2VydmljZXdlY2hhdC5jb20wPgYDVR0gBDcwNTAzBgZngQwBAgIwKTAn
20. BggrBgEFBQcCARYbaHR0cDovL3d3dy5kaWdpY2VydC5jb20vQ1BTMA4GA1UdDwEB
21. /wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwRAYDVR0fBD0w
22. OzA5oDegNYYzaHR0cDovL2NybC5kaWdpY2VydC5jbi9EaWdpQ2VydFNlY3VyZVNp
23. dGVDTkNBRzMuY3JsMHgGCCsGAQUFBwEBBGwwajAjBggrBgEFBQcwAYYXaHR0cDov
24. L29jc3AuZGlnaWNlcnQuY24wQwYIKwYBBQUHMAKGN2h0dHA6Ly9jYWNlcnRzLmRp
25. Z2ljZXJ0LmNuL0RpZ2lDZXJ0U2VjdXJlU2l0ZUNOQ0FHMy5jcnQwDAYDVR0TAQH/
26. BAIwADCCAX0GCisGAQQB1nkCBAIEggFtBIIBaQFnAHUATnWjJ1yaEMM4W2zU3z9S
27. 6x3w4I4bjWnAsfpksWKaOd8AAAGOVLbAWAAABAMARjBEAiB0AuYhNyhwlHQd6WFo
28. a9GfsU/bmlJn7r6FHLAj/wGsgQIgfErmXH1IwsbDVgF6maNb/fT3MtTLMYW2gtZM
29. sVlXPxwAdgB9WR4S4XgqexxhZ3xe/fjQh1wUoE6VnrkDL9kOjC55uAAAAY5UtsBb
30. AAAEAwBHMEUCIQCHHQPM7H33iggYOXXVILeCcWJcPAc1Q5AHxMvvf2uBGQIgWmtG
31. bq/U1pvGR6Ese/9iEcfilTWCZuFtQ1TAYdXks4cAdgDm0jFjQHeMwRBBBtdxuc7B
32. 0kD2loSG+7qHMh39HjeOUAAAAY5UtsBvAAAEAwBHMEUCIQCiNqMPK5nyOYjUEZjs
33. IZo8ffdJ3fEUjcKJLgBJOpxwigIgNDtgtz6rgTB6Nm7RCLA5hdvJw0zg3Vf7aNDL
34. YHh0Ri0wDQYJKoZIhvcNAQELBQADggEBAEDzI6foyjza6cAPqGNDg0fE0nzYrFm/
35. SrAuMGGUTmY4Xdpf9pHFTvET7nCJTEv4RDoHauQIwuYszo0xCcpNWaDtsYOELGi3
36. x51t8VLBKnduOqDavBMmWdJA/srLZAAVbTvy4RQkSOCazRsmEIkxZ+DDqnIdtsh2
37. QB4Fwi4w1i+3jO4uj5GDbOBKljfsQflXJH70AFF4GNiQIPTftqadX+CGjaKELw3U
38. BlbGQfaA4uH8ejgXG4Kz7UBLd+ARTTz9C/1v/NBDKriym0jBpe7ElwSWYeNXogDD
39. Vati/dLM+cpYXhrd1XG41f5REuceehlX4qsJ7PbNrbU2u7lLW/36uPc=
40. -----END CERTIFICATE-----

复制代码

看看你能否找到以上证书的有用期吧！欢迎在评论区留下你的答案。
   提示：以上字符串为微信域名mp.weixin.qq.com的证书，将以上文本复制到文本文件并以.pem为后缀，在Window或MacOS即可以双击打开查看证书详情。
  若想了解更多关于X.509证书的细节，可以参阅如下尺度文档(访问暗码: 6277)：

• RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.pdf
  
• GB/T 20518-2018 信息安全技能 公钥底子设施 数字证书格式.pdf
  

4. 参考链接

• https://techcommunity.microsoft.com/t5/internet-of-things-blog/the-layman-s-guide-to-x-509-certificate-jargon/ba-p/2203540
  
• https://learn.microsoft.com/zh-cn/azure/iot-hub/reference-x509-certificates
  
• https://www.openssl.org/docs/man1.1.1/man1/x509.html
  

---

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。