Certyfikat X.509

Certyfikat klucza publicznego X.509 (ang. X.509 public key certificate) – certyfikat klucza publicznego stosowany w architekturze X.509.

Certyfikat X.509 składa się z następujących struktur:

• tbsCertificate – kontener zawierający właściwą treść certyfikatu, podlegający podpisaniu (to be signed) przez urząd certyfikacji
  • Version – wartość 0 dla X.509v1, wartość 2 dla obecnie obowiązującej wersji X.509v3
  • Serial Number – dodatnia liczba całkowita stanowiąca unikatowy identyfikator certyfikatu wydany w ramach danego urzędu certyfikacji
  • Signature – algorytm kryptograficzny, jakiego urząd certyfikacji użył do złożenia podpisu pod strukturą tbsCertificate; wartość ta jest powtórzeniem pola Signature Algorithm umieszczonego na zewnątrz struktury tbsCertificate, gwarantując jego autentyczność
  • Issuer – opis urzędu certyfikacji w notacji X.500
  • Validity – data i czas UTC początku ważności certyfikatu oraz końca jego ważności (data i czas od roku 2050 muszą być podane w formacie GeneralizedTime zamiast UTC)
  • Subject – opis podmiotu (właściciela certyfikatu) w notacji X.500
  • Subject Public Key Info – struktura zawierająca ciąg bitów klucza publicznego podmiotu oraz opis algorytmu kryptograficznego zapisany jako jego OID
  • Extensions – rozszerzenia ograniczające sposób korzystania z certyfikatu oraz sposób weryfikacji ścieżki certyfikacji
• Signature Algorithm – algorytm kryptograficzny, jakiego urząd certyfikacji użył do złożenia podpisu pod strukturą tbsCertificate
• Signature Value – ciąg bitów zawierający wartość podpisu cyfrowego

Powyższa struktura może być różnie opisywana, w zależności od zastosowanej notacji ASN.1. Powyżej przedstawiona jest notacja zgodna z RFC 5280^[1] .

Certyfikaty X.509 są zapisywane za pomocą kodowania BER, dającego w wyniku plik binarny. Dla ułatwienia transportu w kanałach obsługujących tylko ASCII (np. email) stosuje się kodowanie Base64 (format PEM – Privacy Enhanced Email). Rozszerzenia przyjęte tradycyjnie dla certyfikatów w formacie BER to .crt oraz .cer, dla formatu PEM – .pem.

Przypisy

1. RFC 5280 ↓.

Linki zewnętrzne

• D.D. Cooper D.D. i inni, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, RFC 5280, IETF, maj 2008, DOI: 10.17487/RFC5280, ISSN 2070-1721, OCLC 943595667  (ang.).