X.509 формат сертификати

X.509 е стандарт, задаващ формата на сертификати с публичен ключ. Съдържа публичен ключ и идентификатор (хост, организация, фирма, отдел…) и е подписан от Certificate Authority (може да е self signed).

Когато е подписан от Certificate Authority (CA), този който има сертификата, може спокойно да използва публичният му ключ за сигурна комуникация, или да валидира инфомация, криптирана със съответният private key, дали наистина са подписани с него.

X.509 сертификатите могат да имат следните разширения:

  • .pem – base64 кодиран, затворен между ––BEGIN CERTIFICATE–– и ––END CERTIFICATE––
  • .cer, .crt, .der – сертификати в двоична DER форма
  • .p7b, .p7c
  • .p12
  • .pfx

PKCS#7 – стандарт за криптиране на информация.
PKCS#12 – създаден за да може да комбинира public и private ключовете в един файл.

In addition to the standard X509 *.cer certificates there are also certificate files ending with *.PFX or *.P12.
The later ones are X509 certs as well, but may in addition contain a private key, too. Password protected, of course.

The container format used here is called PKCS#12. More info on this is available e.g. in Wikipedia.
The reason, that there are two file extensions is historical. PFX was a Microsoft extension, while P12 was the Netscape one.

Certificate chains and cross-certification

Начин на иерархична организация на сертификатите при който всеки сертификат се явява наследник на друг, подписан от т.н. Certificate Authority, като има и т.н. root certificates, които са издадени също от Certificate Authority, които стоят на върха на веригата и са self signed.

Този механизъм се реализира чрез следните свои характеристики:

  • полето Issuer на всеки сертификат (освен root сертификатите) съвпада с полето Subject на „по-горният“ сертификат във веригата
  • и не само това, ами и самият сертификат трябва да е подписан със secret key-я на „по-горния“ сертификат. По този начин един сертификат може да се удостовери с публичният ключ на „по-горният“ сертификат.
  • най-горният, последният сертификат във веригата се приема за достоверен, защото е издаден от Root Certificate Authority

Литература:

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *