当前位置:文档之家 › 数字证书格式培训

数字证书格式培训

  • 格式:ppt
  • 大小:384.00 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

数字证书(CA)培共50页文档

数字证书(CA)培共50页文档

55、 为 中 华 之 崛起而 读书。 ——周 恩来
数字证书(CA)培
51、没有哪个社会可以制订一部永远 适用的 宪法, 甚至一 条永远 适用的 法律。 ——杰 斐逊 52、法律源于人的自卫本能。——英 格索尔
53、人们通常会发现,法律就是这样 一种的 网,触 犯法律 的人, 小的可 以穿网 而过, 大的可 以破网 而出, 只有中 等的才 会坠入 网中。 ——申 斯通 54、法律就是法律它是一座雄伟的大 夏,庇 护着我 们大家 ;它的 每一块 砖石都 垒在另 一块砖 石上。 ——高 尔斯华 绥 55、今天的法律未必明天仍是法律。 ——罗·伯顿
ቤተ መጻሕፍቲ ባይዱ 谢谢!
51、 天 下 之 事 常成 于困约 ,而败 于奢靡 。——陆 游 52、 生 命 不 等 于是呼 吸,生 命是活 动。——卢 梭
53、 伟 大 的 事 业,需 要决心 ,能力 ,组织 和责任 感。 ——易 卜 生 54、 唯 书 籍 不 朽。——乔 特
数字证书标准格式、申请、分发

数字证书标准格式、申请、分发


认证机构数字签名
图5-1数字证书示意图
Technology of Electronic Business Security 2011年10月10日 -4-
5.1数字证书及其格式(Cont.)
X.509标准数字证书格式
X.509 标 准 : ITU 制 定 , 版 本 有 X.509v1(1988) 、 X.509v2(1993) 、X.509v3(1997) 、X.509v4(2000) 。 X.509数字证书基本格式(X.509v1 、v2) 内容: 版本号:X.509标准版本号。 数字证书序列号:数字证书的唯一标识。 签名算法标识符:认证机构对数字证书签名时所使用 的数字签名算法的标识。
Technology of Electronic Business Security 2011年10月10日
-8-
5.1数字证书及其格式(Cont.)
版本号
图5-3 X.509V3数字证书格式
认证机构私钥
证书序列号
签名算法标识符 发放者的X.509名称 有效期 主体的X.509名称 主体公钥信息:公钥及算法标识符 可 选 部 分
Technology of Electronic Business Security 2011年10月10日
-22-
5.5 数字证书的撤销(Cont.)
撤销数字证书的方法
定期公布数字证书撤销表:时间间隔由认证机构确定。 存在撤销的证书不能及时公布。 广播数字证书撤销表:当有数字证书被撤销时,认证 机构将数字证书撤销表广播给数字证书使用系统。不 存在公布延迟问题。在需要紧急撤销数字证书时,可 以很快地分发数字证书撤销表,但是需要对分发通信 进行保护,并且可能产生大量通信负荷、难以确认证 书使用系统。不适合大规模应用。 进行在线状态检查:通过在线事务处理程序,对服务 器撤销的证书实时查询。需要通信保护。查询成本高。
CA数字证书认证系统培训资料

CA数字证书认证系统培训资料

CA数字证书认证系统培训资料目录第1章前言 (5)1.1物理安全 (5)1.1.1主要功能 (6)1.1.2组成部分 (6)1.1.3技术标准 (6)1.2网络及系统安全 (7)1.2.1主要功能 (7)1.2.2组成部分 (7)1.2.3遵循的标准 (8)1.3应用系统安全 (8)1.3.1主要功能 (8)1.3.2组成部分 (9)1.4安全管理和审计 (9)1.4.1安全管理的主要内容 (10)1.4.2安全审计的主要内容 (10)第2章PKI的概念 (11)2.1什么是PKI (11)2.1.1数据机密性 (11)2.1.2可认证性 (11)2.1.3数据完整性 (12)2.1.4不可抵赖性 (12)2.2PKI中涉及到的密码算法 (12)2.2.1对称算法 (13)2.2.2非对称算法 (14)2.2.3数字签名算法 (18)2.2.4摘要算法 (19)第3章PKI的组成 (21)3.1典型PKI结构 (21)3.2X.509证书 (21)3.2.1X.509 V3 (22)3.2.2X.509C V3 (24)3.2.3标准扩展项 (25)3.2.4证书结构 (26)3.3PKI的功能 (27)3.3.1一个简单的PKI系统 (27)3.3.2PKI提供的核心服务 (28)第4章PKI/CA系统的结构 (30)4.1PKI/CA体系结构 (30)4.2PKI/CA主要功能 (31)4.2.1认证功能 (31)4.2.2数字证书管理功能 (31)4.2.3密钥管理功能 (32)4.2.4数据加密安全通信功能 (32)4.2.5数据完整性服务功能 (32)4.2.6访问控制功能 (32)4.2.7双密钥支持 (33)4.2.8支持数字签名的不可否认 (33)4.2.9支持CA间交叉认证 (33)4.2.10支持历史密钥的管理和恢复 (33)4.2.11支持时间戳服务 (33)4.2.12支持用户端应用软件 (34)4.2.13支持标准化密码算法应用 (34)第5章CA证书认证系统的结构 (35)5.1证书认证系统的总体结构 (35)5.1.1RCA (35)5.1.2CA (35)5.1.3SCA (35)5.1.4RA (35)5.1.5LA (36)5.2证书认证系统的基本功能 (36)5.3证书认证系统的逻辑结构 (36)5.4证书认证系统的分层结构 (37)第6章CA证书认证系统的功能 (39)6.1证书签发服务器 (39)6.2密钥管理服务器 (40)6.3证书管理服务器 (40)6.4CA中心审计系统 (41)6.5CA中心计费系统 (41)6.6CA中心管理系统 (41)6.7网络监控预警系统 (42)6.8注册服务器RS (42)6.9WWW服务器 (42)6.10LDAP证书和查询与发布服务器 (42)6.11证书状态实时查询服务器 (43)第7章CA证书认证系统的实施 (44)7.1系统的设计原则 (44)7.1.1规范化原则 (44)7.1.2安全性原则 (44)7.1.3先进性原则 (44)7.1.4标准化原则 (44)7.1.5可扩展性原则 (44)7.1.6实用性原则 (44)7.1.7模块化原则 (45)7.2系统的技术要求 (45)7.3系统的安全防护 (46)7.3.1防火墙 (46)7.3.2入侵检测 (47)7.3.3漏洞扫描 (48)7.3.4病毒防治 (48)7.3.5安全审计 (49)7.3.6Web信息防篡改 (49)7.3.7物理安全与容灾备份 (50)7.4工作协议和流程 (50)7.4.1CA系统工作流程 (51)7.4.2系统初始化流程 (52)7.4.3身份认证流程 (52)7.4.4业务工作流程 (53)7.5一个CA系统实例 (53)7.5.1总体结构 (53)7.5.2CA的设计 (54)7.5.3KM的设计 (56)7.5.4RA的设计 (57)7.5.5LA的设计 (57)7.5.6LDAP的设计 (58)7.5.7OCSP的设计 (59)7.5.8用户载休 (60)7.5.9备份系统 (60)7.5.10网络安全设计 (61)第8章相关技术标准 (64)8.1正在制订的标准或规范 (64)8.2已发布的标准或规范 (64)8.3主要应用标准 (67)8.4密码函数 (67)8.5数据格式和协议: (68)8.6PKCS标准协议 (68)前言随着计算机技术、通信技术以及互联网技术的飞速发展,社会信息化进程逐渐加快,信息资源在整个社会的各个领域中的地位和作用变得越来越突出,各项社会活动(包括国家政治、经济、军事、科技、文化等方面)都将依赖于信息资源和信息系统的支撑。

数字证书(CA)培(精选)PPT50页

数字证书(CA)培(精选)PPT50页


1、不要轻言放弃,否则对不起自己。
2、要冒一次险!整个生命就是一场冒险。走得最远的人,常是愿意 去做,并愿意去冒险的人。“稳妥”之船,从未能从岸边走远。-戴尔.卡耐基。
梦 境
3、人生就像一杯没有加糖的咖啡,喝起来是苦涩的,回味起来却有 久久不会退去的余香。
数字证书(CA)培(精选) 4、守业的最好办法就是不断的发展。 5、当爱不能完美,我宁愿选择无悔,不管来生多么美丽,我不愿失 去今生对你的记忆,我不求天长地久的美景,我不会再掉进坑里。——黑格尔 32、希望的灯一旦熄灭,生活刹那间变成了一片黑暗。——普列姆昌德 33、希望是人生的乳母。——科策布 34、形成天才的决定因素应该是勤奋。——郭沫若 35、学到很多东西的诀窍,就是一下子不要学很多。——洛克
数字证书格式详解(二)

数字证书格式详解(二)

数字证书格式详解(二)数字证书格式详解什么是数字证书?数字证书是一种用于在网络环境中进行身份验证和数据传输加密的安全工具。

它可以确保通信双方的身份,并保护数据的完整性和机密性。

数字证书通常由可信任的第三方机构颁发,用于验证用户或组织的身份。

数字证书的作用数字证书具有以下几个重要的作用:1.身份验证:数字证书可以用于验证用户或组织的身份。

证书中包含了持有者的公钥以及其他相关信息,通过验证证书的合法性,可以确定持有者的身份。

2.数据传输的加密:数字证书可以用于保护数据在传输过程中的机密性。

持有者的公钥可以被用来加密数据,只有持有者的私钥才能解密被加密的数据。

数字证书的格式数字证书一般采用以下两种常见的格式:1.证书格式:是一种通用的数字证书格式标准,广泛应用于公钥基础设施(PKI)体系中。

证书包含了持有者的身份信息、公钥、数字签名等。

其中,数字签名用于验证证书的合法性和完整性。

2.PKCS#12格式:PKCS#12是一种用于储存私钥、公钥以及证书的格式标准。

PKCS#12格式的文件通常具有扩展名为.pfx或.p12。

这种格式可以安全地储存个人的私钥和相应的证书,并提供密码保护。

数字证书的生成和使用流程生成和使用数字证书的一般流程如下:1.生成私钥:首先,证书的持有者需要生成一对公钥和私钥。

私钥是保密的,持有者需要妥善保存,而公钥可以被其他人使用来加密数据。

2.制作证书签署请求:持有者需要向证书颁发机构(CA)提出证书签署请求。

该请求包含了持有者的身份信息和公钥等。

CA会对请求进行验证,并生成一份签名过的证书。

3.证书签发:CA会对持有者的身份进行验证,并签发一份证书。

该证书包含了持有者的身份信息、公钥以及CA的数字签名等。

4.导入证书:持有者在使用证书的时候,需要将证书导入到相应的应用程序中,以便进行身份验证和数据传输加密。

5.证书更新与吊销:数字证书是有一定有效期的,过期之后需要进行更新。

此外,如果证书的私钥泄露或持有者的身份信息发生变化,证书也可以被吊销并重新颁发。

数字证书格式详细说明

数字证书格式详细说明

数字证书格式常见的数字证书格式cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是. pem) p7b一般是证书链,里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。

在Security编程中,有几种典型的密码交换信息文件格式: DER-encoded certificate: .cer, .crtPEM-encoded message: .pemPKCS#12 Personal Information Exchange: .pfx, .p12PKCS#10 Certification Request: .p10PKCS#7 cert request response: .p7rPKCS#7 binary message: .p7b.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。

.pem跟crt/cer的区别是它以Ascii来表示。

pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式p10是证书请求p7r是CA对证书请求的回复,只用于导入p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。

其中,我介绍如何从p12/pfx文件中提取密钥对及其长度: 1,首先,读取pfx/p12文件(需要提供保护密码)2,通过别名(Alias,注意,所有证书中的信息项都是通过Alias来提取的)提取你想要分析的证书链3,再将其转换为一个以X509证书结构体4,提取里面的项,如果那你的证书项放在第一位(单一证书),直接读取x509Certs[0](见下面的代码)这个X509Certificate对象5,X509Certificate对象有很多方法,tain198127网友希望读取RSA密钥(公私钥)及其长度(见/thread.shtml?topicId=43786&forumId=55&#reply),那真是太Easy了,X509Certificate keyPairCert = x509Certs[0];int iKeySize = X509CertUtil.getCertificateKeyLength(keyPairCert);System.out.println("证书密钥算法="+keyPairCert.getPublicKey().ge tAlgorithm());System.out.println("证书密钥长度="+iKeySize);提取了他所需要的信息。

数字证书的格式

数字证书的格式

数字证书的主要组成部分及格式
数字证书通常使用X.509标准进行编码和表示。

它是一种常用的数字证
书格式,用于对公钥进行认证和身份验证。

以下是数字证书的主要组成
部分:
1. 版本号:证书的版本信息,通常以数字表示。

常见的版本包括v1、v2
和v3。

2. 序列号:由颁发机构分配的唯一标识符,用于识别证书的唯一性。

3. 签名算法标识:指示用于生成数字签名的算法类型,例如RSA、DSA
或ECDSA。

4. 颁发者:颁发证书的机构或实体的标识信息,包括名称、组织等。

5. 有效期:证书的生效和失效日期,用于限制证书的使用时间范围。

6. 主体:持有证书的实体或实体组织的标识信息,通常包括名称、组织、国家等。

7. 主体公钥信息:证书中包含的公钥,用于加密、签名和身份验证等操作。

8. 扩展信息:额外的证书相关信息,如证书用途、颁发机构的策略等。

9. 颁发者签名:颁发机构对证书信息进行数字签名的结果,用于验证证
书的完整性和真实性。

数字证书一般使用Base64编码,将二进制数据转换为可打印字符,以便在网络中传输和存储。

通常,数字证书的文件扩展名为.pem、.crt或.cer。

总结:数字证书的格式主要采用X.509标准,包含版本号、序列号、签
名算法标识、颁发者、有效期、主体、主体公钥信息、扩展信息和颁发
者签名等信息。

它使用Base64编码,并常见的文件扩展名为.pem、.crt 或.cer。

数字证书应用培训教材

数字证书应用培训教材


七,数字证书的应用办法
构建数字证书审核注册服务中心RA. 通过RA向用户发放证书. 通过可信中间件的调度来实现认证与安全. 与应用系统的结合起来,解决电子政务系统中 的各种安全可信问题. .
(1)RA中心及业务支撑平台的构建 中心及业务支撑平台的构建
应用支撑平台 业务支撑服务 安全MAIL服务
核心交换
B.自动化系统中使用数字证书:
1,局长将证书载体-实体鉴别密码器插入计算机的USB 接口中:
2,局长登录/download/download.htm下载 Keynet的驱动程序及安装说明,并按照说明手册进行安装:
3,安装成功后,局长登录/serve/changepin/changepin.htm 界面,将Keynet的PIN码(及证书登录密码)更改为自定义值,如下图:
系统后台执行过程: 系统后台执行过程:
数据加密过程
数据解密过程
数字签名过程

谢!

电子政务外 网
安全WEB服务
广东省电 子政务内 网CA中心
RA中心 专线
RA业务服务
时间戳服务 证书认证服务
信息交换服务
密钥管理 中心
数据库服务 基本框架 + 基础信任服务 基本框架 + 基础信任服务
(2)证书签发与应用流程 证书签发与应用流程
CA中心 中心
证书签发
RA中心 中心
证书受理, 发放
证书用户 政务应用系统 安全中间件 应用支撑平台
5.3 数字签名,验签 数字签名,
功能:对敏感操作进行数字签名,确保数据完整性和操作的不可抵赖性.
5.4 时间戳服务
功能:对某些特殊数据用权威的时间源进行签名,保证数据的可靠性和不 可抵赖性.
CA培训

CA培训

苏州CA数字证书应用培训
2012年6月
© GOOGLE 2005
纲要
诚信服务
1.数字证书认证中心简介 2.数字证书相关知识及主要功能 3.数字证书申请流程及相关携带材料 4.数字证书驱动的安装 5.注意事项及常见问题 6.我们的联系方式
CA中心简介
诚信服务
苏州市数字证书认证中心(简称苏州 CA 中 心),是经苏州市人民政府批准,苏州地区唯一专 门从事电子认证服务的机构。作为法律认可的、政 府信任的权威的第三方电子认证服务机构,苏州 CA 中心按照《中华人民共和国电子签名法》的规 定,对公众提供数字证书的相关电子认证服务感数据在网络 传输中的完整性及保密性
数据完整性及保密性服务的实现主要方法是数字签名 技术,它可以保障被签名数据的完整性及保密性。使用数 字证书后,用户在报送数据时,数字证书对敏感数据加密 后进行传输,加密以后的数据只有接收方才能解密,其他 没经授权的人 是看不见或读不懂这些原数据的,并且如果 敏感数据在传输和处理过程中被篡改,接受方就不会收到 完整的数据签名,验证就会失败。反之,如果签名通过了 验证,就证明接收方收到的是没经修改的完整性数据。
数字证书申请流程及材料
需提交的材料
• • • •
诚信服务
①组织机构代码证复印件二份 ②工商营业执照复印件二份 ③代理人有效身份证件复印件二份 ④数字证书申请单 ★以上材料均盖公章
安装使用数字证书
硬件要求
诚信服务
1、具备上网条件;2、具备USB设备接口。
软件要求
操作系统:WIN98第二版、WIN ME、WIN 2000、 WINXP、VISTA、WIN7 浏览器:WIN98第二版用IE 6.0及以上版本
数字证书的主要功能
数字证书培训

数字证书培训


PPT文档演模板
数字证书培训
1.2 USBKEY的特点
§ ·身份标志:存储与您身份唯一指定的CA数字证书。 § ·安全性高:仅允许指定的CA证书存入,证书不能
导出、不能进行复制。
§ ·多重保护:使用时需要PIN码(PIN码是你的 USBKEY的个人标识号 )验证。
§ ·使用方便:操作简单、便于携带、便于保管。
PPT文档演模板
数字证书培训
1、首先,下载驱动安装程序ePass3003SimpChinese.exe【点击下载驱动】
2、选中文件后双击鼠标,选择:“安装证书”如下图:
PPT文档演模板
数字证书培训
3、点击“安装”出现如下图:
4、点击“完成(F)”,驱 动安装成功。
PPT文档演模板
数字证书培训
2.2 第二步:浏览器设置
PPT文档演模板
数字证书培训
1.4 数字证书的安全机制
§ ·PIN码:CA数字证书的口令,用户可以自行 修改。
§ ·USBKEY实现了安全限制,CA证书不可导 出。(和淘宝网等纯软件数字证书不一样)
PPT文档演模板
数字证书培训
2.数字证书安装流程
§2.1 第一步:数字证书驱动安装 §2.2 第二步:浏览器设置 §2.3 安装完成后注意事项
PPT文档演模板
数字证书培训
2、下载根证书文件gfaca.zip【点击下载证书】,并解压缩 。 3、选中两个文件后右击鼠标,选择:“安装证书”如下图:
PPT文档演模板
数字证书培训
4、在CA证书安装向导中,点击:“下一步(N)”出现如
下图:
PPT文档演模板
数字证书培训
5、选择证书存储位置,点击:“下一步(N)”出现如下图:
数字证书使用培训演讲稿

数字证书使用培训演讲稿

演讲稿大家好,很高兴大家能在百忙中抽出时间来参加这次会议。

我叫XXX,来自XXX有限公司。

本次会议是受地税局、江苏省CA中心的委托向大家介绍 CA,及CA的安装和应用。

今天我把讲解分为三个部分。

第一:介绍一下CA、数字证书等专业名词的相关的概念。

第二:CA的安装及其主要事项;第三:现场答疑。

(接下来我们来共同了解一下 CA)什么是CA呢? CA就是“权威的证明”。

江苏CA中心是江苏省电子商务证书认证中心的简称。

江苏CA是权威公正的第三方机构,为什么说它是权威公正的第三方机构呢,因为它是经江苏省人民政府批准建设;其安全系统的建设是经国家密码管理局审查、审批通过;其证书认证服务是经国家信息产业部审查认可颁布,专门负责为电子政务外网和各类电子商务网络提供数字证书认证服务的证书认证机构。

简单的说它是专门负责证书发放、证书认证的机构。

(下面我为大家介绍一下什么是数字证书)数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,简单的说就是在In ternet上解决“我是谁”的问题,打个比方说我们在现实生活中都有一张证明个人身份的个人身份证或驾驶照。

那么数字证书呢就是我们个人或法人在网络上的身份证。

这样讲大家应该可以理解什么是数字证书了,它主要的目的就是证明我们的身份。

(不过它还有其他的重要功能,下面我们来讲讲它的重要功能)它有四个主要功能:•有效的身份认证:建立全网同意的用户身份认证体系,只有确认了用户的身份才能开放相应的权限和提供相应的服务,而且有效阻止的非法用户的侵入。

简单的说就是明确确立我们的身份,根据我们身份不同提供不同的服务。

•数据通讯安全:原先网络上的数据由于是以明文方式传输的,这样呢就有很大的危险性,数据很容易被拦截和篡改,从而用户无法确立信息的真伪。

为了弥补这个安全漏洞呢我们采用SSL等技术手段在客户端与服务器建立了安全的、高强度的信息通道。

•数据的完整性安全:因为我采用了 SSL技术手段在客户端与服务器间建立了安全通道,信息在这个通道下传输,数据的完整性和安全性得到了保护,防止了黑客的恶意篡改,避免了数据在传输过程中无意的丢失而造成信息接受差异。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

-- TLS WWW server authentication -- Key usage bits that may be consistent: digitalSignature, -- keyEncipherment or keyAgreement id-kp-clientAuth OBJECT IDENTIFIER ::= { id-kp 2 }
• TBSCertificate
• 基本项 • 扩展项
5
TBSCertificate
TBSCertificate ::= SEQUENCE { version signature issuer validity subject [0] EXPLICIT Version DEFAULT v1, CertificateSerialNumber, AlgorithmIdentifier, Name, Validity, Name, serialNumber
7
扩展项
• 扩展项表示
Extension ::= SEQUENCE { extnID critical OBJECT IDENTIFIER, BOOLEAN DEFAULT FALSE,
extnValue OCTET STRING }
• Standard Extensions (16项,X.509中规定的)
subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 extensions }
17
OBJECT IDENTIFIER ::= { id-kp 9 }
与证书策略相关的扩展项
• Certificate Policies(证书策略) • Policy Mappings(策略映射) • Policy Constraints(策略限制) • Inhibit Any-Policy(禁止Any-Policy)
-- TLS WWW client authentication -- Key usage bits that may be consistent: digitalSignature -- and/or keyAgreement
16
id-kp-codeSigning
OBJECT IDENTIFIER ::= { id-kp 3 }
-- Binding the hash of an object to a time -- Key usage bits that may be consistent: digitalSignature -- and/or nonRepudiation id-kp-OCSPSigning -- Signing OCSP responses -- Key usage bits that may be consistent: digitalSignature -- and/or nonRepudiation
• 自签证书是自颁发证书的一种
• 交叉证书(cross certificate)
• End-entity Certificate
11
扩展项分类

密钥标识符
• • Authority Key Identifier Subject Key Identifier

可选替换名
• • Subject Alternative Name Issuer Alternative Name Basic Constraints Name Constraints CRL Distribution Points Freshest CRL Private Key Usage Period Subject Directory Attributes
18
Certificate Policies(证书策略) Policies(证书策略)
• 定义
certificatePolicies ::= SEQUENCE SIZE (1..MAX) OF PolicyInformation PolicyInformation ::= SEQUENCE { policyIdentifier CertPolicyId, policyQualifiers SEQUENCE SIZE (1..MAX) OF PolicyQualifierInfo OPTIONAL } CertPolicyId ::= OBJECT IDENTIFIER PolicyQualifierInfo ::= SEQUENCE { policyQualifierId PolicyQualifierId, qualifier ANY DEFINED BY policyQualifierId }
• Authority Key Identifier • Subject Key Identifier • Key Usage • Private Key Usage Period • Certificate Policies • Policy Mappings
8
• Subject Alternative Name • Issuer Alternative Name • Subject Directory Attributes • Basic Constraints • Name Constraints • Policy Constraints • Extended Key Usage • CRL Distribution Points • Inhibit Any-Policy • Freshest CRL
15
(0), (1), (2), (3), (4), (5), (6), (7), (8) }
密钥用途相关(续) 密钥用途相关(

Extended Key Usage(扩展密钥用途)
• 一般只用于实体证书,可根据用户的自身情况设置关键值
anyExtendedKeyUsage OBJECT IDENTIFIER ::= { id-ce-extKeyUsage 0 } id-kp OBJECT IDENTIFIER ::= { id-pkix 3 } id-kp-serverAuth OBJECT IDENTIFIER ::= { id-kp 1 }
• RFC3280 (替换了RFC2459)
• Certificate and CRL profile • 国标《数字证书格式》对应RFC3280
• RFC3281
• Attribute Certificate Profile
4
X.509证书格式 三、X.509证书格式
• 证书
Certificate ::= SEQUENCE { tbsCertificate signatureValue TBSCertificate, BIT STRING } signatureAlgorithm Algori培训材料之二
吉大正元信息技术股份有限公司
主要内容
• 数字证书的概念 • 证书标准 • X.509证书格式 • 国标中规定的扩展项 • DN规划 • OID管理
2
一、数字证书的概念
• 数字证书?
• 公钥证书 • 属性证书 • PGP证书 • SET证书 • 合格证书(qualified certificate)
9
• Internet Certificate Extensions (RFC3280中规定的)
• Authority Information Access • Subject Information Access
10
证书种类
• CA Certificate
• 自颁发证书(self-issued certificate) • 自签证书(self-signed certificate)
19
• 说明
• •

因特网专用扩展 • • Authority Information Access Subject Information Access
12
密钥标识符
• 扩展域
• Authority Key Identifier • Subject Key Identifier
• 目的
• 标识密钥,以帮助路径构造
• 取值方式
• 由公钥衍生
• SHA-1 • 0100 + 60bits (从SHA-1中取)
• 唯一确定的值,单调递增的整数
• 设置
• 必须有,非关键
13
认证路径(证书链) 认证路径(证书链)
相同 自签证书 AKID = W 相同 AKID = W 相同 AKID = X 相同 AKID = Y SKID = Z SKID = Y SKID = X SKID = W
3
二、证书标准
• ITU X.509 | ISO/IEC 9594-8
• V3(1997),Authentication Framework • 4th_Edition,Public-key and Attribute Certificate Frameworks • GB/T16264.8 对应ITU X.509

密钥用途相关
• • Key Usage Extended Key Usage

限制
• •

与证书策略相关的扩展项
• • • • Certificate Policies Policy Mappings Policy Constraints Inhibit Any-Policy