X.509证书及CeritificationPath及PKCS

X.509,数字证书标准。X.509用在包含SSL/TLS在内的很多网络协议中,证书内部包含一个public key和一个identity(hostname,organization等)。

  X.509由ITU-T发布,International  Telecommunications Unions,基于ASN.1的编码。

一个X.509的证书可以由CA或者self-signed来颁布。

  X.509v3中增加了PKI新的结构类型,mesh和bridge。

证书的格式:

    

  

  

应用确定证书有效性的过程叫做,Certification Path Process。

Certification Path称为从Trust anchor到Target certificate的路径。

Certification Path Building与Validation,设计和验证Ceritfication Path的有效性。

Cross Certification,两个CA之间的一个certification,表明信任链可以从该CA传递到下一个CA。

PKI,Public Key Infrastructure,PKI的structure,有很多变化结构,simple,hierarchy,complex等。

  主要用来issue和manage certification。

root CA一般会内嵌到浏览器或者OS中,

Sample Hierarchical PKI:

    

web中使用更多的是multi-root CA,Trust list中包含各种各样的机构的CA,这样客户端不需要特意的直到目前需要怎样的证书:

    

除了单向的trust validation,还有互为CA的结构,构成mesh状:

    

带有cross-certified的bridge 状的PKI结构:

    

一个典型的Certification Path,

    

PKCS,Public Key Cryptography Standards 公钥密码标准,一直由RSA公司颁布更新,来推动RSA技术的发展,

PKCS#1,又名RSA Cryptography Standard,实现了RSA encryptyion,decryption,sign,verify的encoding/padding格式;

PKCS#3,Diffie-Hellman Key Agreement,推动DH算法。

   

时间: 2024-10-09 18:14:32

X.509证书及CeritificationPath及PKCS的相关文章

基于X.509证书和SSL协议的身份认证过程实现(OpenSSL可以自己产生证书,有TCP通过SSL进行实际安全通讯的实际编程代码)good

上周帮一个童鞋做一个数字认证的实验,要求是编程实现一个基于X.509证书认证的过程,唉!可怜我那点薄弱的计算机网络安全的知识啊!只得恶补一下了. 首先来看看什么是X.509.所谓X.509其实是一种非常通用的证书,什么是证书?唉!这么说吧!当两个人需要进行远程通信而又不想让第三个人知道时就必须建立一种安全措施,因为看不到对方的脸,又不能通过电话直接询问对方,就得想点别的办法,比如我设计一个密码,让后发短信告诉你,这样当我们在网上交流之前就可以对一下密码,暗号之类的.确认后就可以证明你的身份了.这

WCF X.509证书双向认证小结

最近在学习WCF X.509证书验证,想实现使用证书实现服务端和客户端的双向认证,实现原理是利用了数字证书包含的一对非对称密钥来实现数字签名及加密.所谓非对称密钥是采用两个密钥将加密和解密能力分开:一个公钥和一个私钥,公钥可解密私钥加密的信息,私钥也可以解密公钥加密的信息,前者用于数字签名后者用于信息加密,但从一个密钥是不可能分析出另一个密钥.利用非对称密钥的特点,我们将私钥签名的证书安装在服务端,把公钥签名的证书放在客户端,就可以实现使用证书实现服务端和客户端的双向认证.具体步骤如下: [1]

使用OpenSSL工具制作X.509证书的方法及其注意事项总结

如何使用OpenSSL工具生成根证书与应用证书 本文由CSDN-蚍蜉撼青松 [主页:http://blog.csdn.net/howeverpf]原创,转载请注明出处! 一.步骤简记 // 生成顶级CA的公钥证书和私钥文件,有效期10年(RSA 1024bits,默认) openssl req -new -x509 -days 3650 -keyout CARoot1024.key -out CARoot1024.crt // 为顶级CA的私钥文件去除保护口令 openssl rsa -in C

X.509证书的编码及解析:程序解析以及winhex模板解析

一.证书的整体结构:证书内容.签名算法.签名结果. 用ASN.1语法描述如下: Certificate::=SEQUENCE{ tbsCertificate TBSCertificate, signatureAlgorithm AlgorithmIdentifier, signatureValue BIT STRING } 其中,签名算法为CA对tbsCertificate进行签名所使用的算法:类型为AlgorithmIdentifier,其ASN.1语法描述如下: AlgorithmIdent

x.509证书

X.509是一种非常通用的证书格式.所有的证书都符合ITU-T X.509国际标准:因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用.在一份证书中,必须证明公钥及其所有者的姓名是一致的.对X.509证书来说,认证者总是CA或由CA指定的人,一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息.X.509标准定义了证书中应该包含哪些信息,并描述了这些信息是如何编码的(即数据格式) 所有的X.509证书包含以下数据: 1.X.509版本号:指

X.509证书生成

创建数字证书 用户对数字证书的认可决定于对证书颁发机构的信任,所以证书颁发机构决定了数字证书的可用范围.由于官方认可的数字证书颁发机构,比如VeriSign.Thawte(OpenSSL),具有普遍的信任度,在大部分情况下是理想的选择.但是对于学习研究或者开发测试,我们没有必要去购买这些商用证书,采用利用一些工具以手工的方式创建证书. 由于WCF的安全机制广泛使用到数字证实,我们很有必要学会手工创建数字证书.微软为我们提供了一个强大的创建数字证书的工具MakeCert.exe,我们可以借助这个工

无法使用以下搜索标准找到 X.509 证书: StoreName“My”、StoreLocation“LocalMachine”、FindType“FindBySubjectName”、FindValue“MyWebSite”。

http://www.codeproject.com/Articles/96028/WCF-Service-with-custom-username-password-authenti 需要制作证书 http://www.cnblogs.com/chucklu/p/4685783.html 首先生成证书

使用X.509数字证书加密解密实务(一)-- 证书的获得和管理

一.       获得证书 1.        从CA获得 2.        从windows2003证书服务中获得 3.        使用makecert工具获得 二.       证书的保存 1.        保存在证书存储区 2.        以文件形式保存 2.1.       带有私钥的证书 2.2.       二进制编码的证书 2.3.       Base64编码的证书 3.        存储区中的证书跟证书文件相互转换 3.1.       使用工具相互转换 3.1.

那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)[zz]

那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)[zz]转载 <javascript:;> 2015-06-09 20:21:04 from:http://www.cnblogs.com/guogangj/p/4118605.html之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领 域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂.写这篇文