什么是X.509证书?X.509证书的工作原理是什么?

X.509是公钥基础设施(PKI)的标准格式 。X.509证书就是基于国际电信联盟(ITU)制定的X.509标准的数字证书 。X.509证书主要用于识别互联网通信和计算机网络中的身份,保护数据传输安全 。X.509证书无处不在,比如我们每天使用的网站、移动应用程序、电子文档以及连接的设备等都有它的身影 。
X.509证书的结构优势在于它是由公钥和私钥组成的密钥对而构建的 。公钥和私钥能够用于加密和解密信息,验证发送者的身份和确保消息本身的安全性 。基于X.509的PKI最常见的用例是使用SSL证书让网站与用户之间实现HTTPS安全浏览 。X.509协议同样也适用于应用程序安全的代码签名、数字签名和其他重要的互联网协议 。

什么是X.509证书?X.509证书的工作原理是什么?

文章插图
X.509证书的好处
一、建立信任
数字证书能帮助个人、组织机构甚至设备在网络世界中建立信任 。作为所有数字身份的基础,X.509证书无处不在,从网站到应用程序,再到端点设备和在线文档,X.509证书都至关重要 。如果没有这些证书,我们将无法相信浏览器上的任何网站 。
这种信任的建立是通过X.509证书的工作原理和颁发方式实现的 。X.509证书密钥结构允许验证:
公钥属于证书中的域名、组织或个人 。
X.509证书是否由权威受信的证书颁发机构 (CA) 如Sectigo签名,或是自签名证书 。
当证书由受信任的CA签名时,证书用户可以确信证书所有者或域名已经过验证,而自签名证书的可信度较低,因为域名所有者无需经过任何验证即可获取证书 。
二、可扩展性
X.509证书的另一个好处是可扩展性 。PKI架构具有可扩展性,通过广泛分发公钥,可以保护组织机构每天在公司内网到公网之间安全交换数十亿条消息,这是因为恶意攻击者无法获得解密信息所需的私钥,进而保障了网络安全 。
X.509证书工作原理
X.509标准基于一种被称为抽象语法表示法 (ASN.1)的接口描述语言,这种接口描述语言定义了可以以跨平台方式序列化和反序列化的数据结构 。利用ASN,X.509证书格式可以使用公钥和私钥来加密和解密信息 。
一、PKI的基础——加密算法
公钥是由一串随机数组成的,可用于加密信息 。只有预期的接收者使用关联的私钥才能解密、读取信息 。该私钥也是由一长串随机数组成的,私钥是秘密储存的,只有接收者知道 。由于公钥是公开的,因此公钥是使用了复杂的密码算法而创建的,通过生成不同长度的随机数字组合将它与关联的私钥配对,这样它们就不易被暴力攻击利用 。用于生成公钥的最常见加密算法是:
Rivest–Shamir–Adleman (RSA)
椭圆曲线密码术 (ECC)
数字签名算法 (DSA)
公钥的密钥长度决定了保护的强度 。例如,2048位的RSA密钥通常应用于SSL证书、数字签名和其他数字证书 。这个密钥长度提供了足够的安全加密,防止黑客破解算法 。

什么是X.509证书?X.509证书的工作原理是什么?

文章插图
(X.509证书使用密钥对进行身份验证保护互联网安全通信)
二、X.509证书结构
X.509证书包含有关颁发者CA和证书使用者的信息 。X.509证书标准字段包括以下内容:

什么是X.509证书?X.509证书的工作原理是什么?

文章插图
注:X.509标准一共有三个版本 。第一个版本在1988年发布,名为X.500;到1996年更新了版本,增加了多个扩展以适应网络发展要求;2019年定义了现在的标准版本,即X.509标准 。

什么是X.509证书?X.509证书的工作原理是什么?

文章插图
(SSL证书中显示的X.509标准信息字段)三、数字证书常见扩展项
除了标准信息字段外,X.509第三版还增加了多个扩展项,其目的是为了支持客户端应用程序使用Internet的扩展方式 。目前使用的两个常见X.509证书扩展项是主题可选名称(Subject Alternative Name)和密钥用法(Key Usage) 。
主题可选名称扩展允许其他身份也可以与证书公钥相关联,除主题名外还包括其他域名,DNS名称、电子邮件地址和IP地址 。基于此扩展项,CA可以提供多域名证书,通常也叫SAN证书 。
密钥用法能够将密钥的使用限制为特定目的,例如“仅签名” 。
四、数字证书信任链
为了进一步建立信任,通常将多个数字证书将结合起来,构建一个分层信任链 。如前所述,作为 X.509验证过程的一部分,每个证书都必须由颁发者CA签名 。CA存储在证书的根目录中,其他中间证书经过验证后存储在信任链中 。当Web浏览器客户端读取证书时,它必须遵循验证的分层路径,包括经验证的中间证书,这些中间证书将链回存储在客户端信任链中的根证书 。如下图所示,主题名racent. com将依次分层链回上海锐成信息科技有限公司 EV CA、USERTrust RSA Certificate Authority、最后是根证书为Sectigo(AAA) 。


推荐阅读