type
status
date
slug
summary
tags
category
icon
password
Sub-item
Last edited time
Oct 28, 2023 10:40 AM
Parent item
领域
当前证书的格式是第三版,每一版都在前面版本基础上添加了新的字段,如下:
版本1的字段
字段 | 说明 |
版本 | 指定所编码证书的版本号。 当前,此字段的可能值为 0、1 或 2。 |
序列号 | 包含证书颁发机构 (CA) 分配给证书的一个唯一正整数。 |
签名算法 | 包含一个对象标识符 (OID),指定 CA 用于对证书进行签名的算法。 例如,1.2.840.113549.1.1.5 指定 SHA-1 哈希算法与来自 RSA 实验室的 RSA 加密算法结合使用。 |
颁发者 | 包含创建和签名证书的 CA 的 X.500 可分辨名称 (DN)。 |
有效期 | 指定证书有效的时间间隔。 到 2049 年末之前的日期使用协调世界时(格林威治标准时间)格式 (yymmddhhmmssz)。 2050 年 1 月 1 日开始的日期使用普通时间格式 (yyyymmddhhmmssz)。 |
使用者 | 包含实体的 X.500 可分辨名称,该实体与证书中包含的公钥相关联。 |
公钥 | 包含公钥和关联的算法信息。 |
版本 2 字段
X.509 版本 2 证书包含版本 1 中定义的基本字段并添加了以下字段。
字段 | 说明 |
颁发者唯一标识符 | 包含一个唯一值,在一段时间内由不同的实体重用时可用于唯一标记证书颁发机构的 X.500 名称。 |
使用者唯一标识符 | 包含一个唯一值,在一段时间内由不同的实体重用时可用于唯一标记证书使用者的 X.500 名称。 |
版本 3 扩展
X.509 版本 3 证书包含版本 1 和版本 2 中定义的字段并添加了证书扩展。
字段 | 说明 |
授权密钥标识符 | 标识证书颁发机构 (CA) 公钥,与用于签署证书的 CA 私钥对应。 |
基本约束 | 指定实体是否可用作 CA,如果可以,则指定在证书链中该 CA 下可以存在的从属 CA 的数量。 |
证书策略 | 指定颁发证书的策略和使用证书的目的。 |
CRL 分发点 | 包含基本证书吊销列表 (CRL) 的 URI。 |
增强型密钥用法 | 指定证书中包含的公钥的使用方式。 |
颁发者备用名称 | 为证书请求颁发者指定一个或多个备用名称形式。 |
密钥用法 | 指定证书中包含的公钥可以执行的操作的限制。 |
名称约束 | 指定证书层次结构中所有使用者名称必须位于的命名空间。 扩展仅在 CA 证书中使用。 |
策略约束 | 通过禁止策略映射或通过要求层次结构中的每个证书包含一个可接受的策略标识符来约束路径验证。 扩展仅在 CA 证书中使用。 |
策略映射 | 指定与发证 CA 中的策略对应的从属 CA 中的策略。 |
私钥使用周期 | 为私钥指定与私钥关联的证书不同的验证周期。 |
使用者可选名称 | 为证书请求使用者指定一个或多个备用名称形式。 示例备用形式包括电子邮件地址、DNS 名称、IP 地址和 URI。 |
使用目录属性 | 传达标识属性,如证书使用者的国籍。 扩展值是 OID 值对序列。 |
使用者密钥标识符 | 区分证书使用者持有的多个公钥。 扩展值一般是密钥的 SHA-1 哈希。 |
