iT邦幫忙

1

證書頒發機構(CA)-Web服務器證書格式

  • 分享至 

  • xImage
  •  

https://ithelp.ithome.com.tw/upload/images/20210305/20132160tHMOF2OFza.jpg
-網站WentzWu.com的X.509證書樣本

因為如今在實踐中很少使用正斜杠“ /”作為分隔符,所以我將選項A修改為使用分號“;”。作為DN分隔符,即使以下專有名稱在語義上是等效的
. CN = WentzWu.com,
O = Amicliens,
S =台灣,
C = TW
. CN = WentzWu.com,O = Amicliens,S =台灣,C = TW(符合RFC 1779,LDAP v2)
. CN = WentzWu.com; O = Amicliens; S =台灣; C = TW(符合RFC 1779的LDAP v2)
. / CN = WentzWu.com/O = Amicliens / S =台灣/ C = TW(臨時但可以接受)

X.509證書中主題的專有名稱(DN)可以引用X.501,它定義了ASN.1中專有名稱的結構。但是,X.501並未專門定義可分辨名稱的表示法或字符串表示形式。

. X.501中定義了專有名稱的ASN.1結構(表示法)。
. 統一資源定位符(URL),通俗地稱為Web地址,是一個網絡資源,例如,參考http://WentzWu.com/CISSP。
. 在線證書狀態協議(OCSP)是用於獲取互聯網協議撤銷狀態的X.509數字證書。這不是DN表示法的標準。

DN分離器(DN Separators)
儘管專有名稱和相對專有名稱的概念是X.500模型的核心,但X.500標準本身並未定義名稱的任何字符串表示形式。X.500組件之間傳達的是名稱的結構形式。這背後的原因是該標準足以允許不同的實現方式進行互操作。字符串名稱永遠不會在不同的實現之間進行通信。相反,它們僅在與最終用戶進行交互時才是必需的。為此,該標准允許任何表示形式,而不必只允許字符串表示形式。
基於X.500的系統(例如LDAP,DCE目錄,Novell的NDS和Microsoft的Active Directory)各自定義了自己的字符串表示形式。例如,在LDAP中,DN的RDN從右到左排列,以逗號(“,”)分隔。這是一個名稱的示例,該名稱的頂部以“ c = us”開頭,而其葉子為“ cn = Rosanna Lee”。
cn = Rosanna Lee,ou = People,o = Sun,c = us
這是一個使用DCE目錄和Microsoft Active Directory的字符串表示形式的同名示例。
/ c = us / o = Sun / ou = People / cn = Rosanna Lee 這些系統的約定是RDN從左到右排序,並用正斜杠字符(“ /”)分隔。
-資料來源:甲骨文

X.509證書
X.509定義證書的格式。它只要求主題字段是一個非空的 專有名稱,除非證書是帶有subjectAltName的最終實體。不過,它沒有指定主題的專有名稱的表示法。(X.501定義了專有名稱的結構,而不是符號。)
下列ASN.1數據類型指定X.509中公共密鑰證書的語法:
https://ithelp.ithome.com.tw/upload/images/20210305/20132160xyznXd6a59.jpg
-X.509證書語法

主題組件應標識與在subjectPublicKeyInfo組件的subjectPublicKey組件中找到的公鑰關聯的實體。如果公用密鑰證書是終端實體公用密鑰證書(請參見第7.4節),則可分辨名稱可以是空序列,前提是存在subjectAltName擴展名並將其標記為關鍵(請參見第9.3.2.1節)。否則,它將是一個非空的專有名稱。
主題和發行者信息擴展的要求
a)公鑰證書需要由採用各種名稱形式的應用程序使用,包括Internet電子郵件名稱,Internet域名,Rec。ITU-T X.400發起方/接收方地址以及EDI方名稱。因此,必須能夠安全地將各種名稱形式的多個名稱與公鑰證書主題或公鑰證書或CRL頒發者相關聯。
-資料來源:X.509

LDAP中的DN
除X.509證書外,目錄服務中還使用專有名稱。例如,X.500中引入了專有名稱的概念。LDAP是X.500的輕量級版本,它也使用專有名稱。
考慮到通用格式的重要性,即必須能夠基於字符串(不是ASN.1)並且面向用戶,因此能夠明確表示可支持人與人之間通信的專有名稱,RFC 1779定義了專有名稱的字符串表示形式,通常在LDAPv2中採用。解析LDAPv2客戶端生成的DN字符串的實現必須接受RFC 1779的語法。
RFC 2253輕型目錄訪問協議(v3):專有名稱的UTF-8字符串表示中定義的語法比RFC 1779中的語法更具限制性。

參考
. X.509
. X.500概述(Oracle)
. ITU-T X.500建議書
. ITU-T X.501建議書
. ITU-T X.509建議書
. RFC 1779:專有名稱的字符串表示形式
. RFC 2253:輕型目錄訪問協議(v3):專有名稱的UTF-8字符串表示形式
. ASN.1

資料來源: Wentz Wu QOTD-20210203


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言