X.509 ist ein Standardformat für Public-Key-Zertifikate, digitale Dokumente, die kryptografische Schlüsselpaare sicher mit Identitäten wie Websites, Einzelpersonen oder Organisationen verknüpfen.
X.1988 wurde 500 neben den X.509-Standards für elektronische Verzeichnisdienste eingeführt und von der IETF-Infrastruktur für öffentliche Schlüssel (X.509) für die Internetnutzung angepasst (X.XNUMX).PKIX) Arbeitsgruppe.RFC 5280Profiliert das X.509 v3-Zertifikat, die X.509 v2-Zertifikatsperrliste (CRL) und beschreibt einen Algorithmus für die Überprüfung des X.509-Zertifikatpfads.
Häufige Anwendungen von X.509-Zertifikaten sind:
- SSL /TLS und HTTPS für authentifiziertes und verschlüsseltes Surfen im Internet
- Signierte und verschlüsselte E-Mail über die S/MIME Protokoll
- Codesignatur
- Signieren von Dokumenten
- Client-Authentifizierung
- Von der Regierung ausgestellter elektronischer Ausweis
Benötigen Sie ein Zertifikat? SSL.com hat Sie abgedeckt. Vergleichen Sie die Optionen hier um die richtige Wahl für Sie zu finden, von S/MIME und Codesignaturzertifikate und mehr.
BESTELLEN SIE JETZT!
Schlüsselpaare und Unterschriften
Unabhängig von den beabsichtigten Anwendungen enthält jedes X.509-Zertifikat aÖffentlicher Schlüssel, Digitale Unterschriftund Informationen sowohl zur Identität des Zertifikats als auch zu seiner AusstellungZertifizierungsstelle (CA):
- Das Öffentlicher Schlüssel Teil a istSchlüsselpaar dazu gehört auch aprivater Schlüssel. Der private Schlüssel wird sicher aufbewahrt und der öffentliche Schlüssel ist im Zertifikat enthalten. Dieses öffentliche / private Schlüsselpaar:
- Ermöglicht dem Besitzer des privaten Schlüssels, Dokumente digital zu signieren. Diese Signaturen können von jedem mit dem entsprechenden öffentlichen Schlüssel überprüft werden.
- Ermöglicht Dritten das Senden von Nachrichten, die mit dem öffentlichen Schlüssel verschlüsselt sind und die nur der Eigentümer des privaten Schlüssels entschlüsseln kann.
- A Digitale Unterschrift ist ein codierter Hash (Digest fester Länge) eines Dokuments, das mit einem privaten Schlüssel verschlüsselt wurde. Wenn ein X.509-Zertifikat von a öffentlich vertrauenswürdige ZertifizierungsstelleB. SSL.com, kann das Zertifikat von einem Dritten verwendet werden, um die Identität der Entität zu überprüfen, die es präsentiert.
Hinweis: Nicht alle Anwendungen von X.509-Zertifikaten erfordern öffentliches Vertrauen. Beispielsweise kann ein Unternehmen seine eigenen privat vertrauenswürdigen Zertifikate für den internen Gebrauch ausstellen. Weitere Informationen finden Sie in unserem Artikel unter Privat gegen Öffentlich PKI.
- Jedes X.509-Zertifikat enthält Felder, in denen das angegeben ist Fach, CA ausstellenund andere erforderliche Informationen wie die des Zertifikats Version undGültigkeitsdauer. Darüber hinaus enthalten v3-Zertifikate eine Reihe von Erweiterungen die Eigenschaften wie akzeptable Schlüsselverwendungen und zusätzliche Identitäten definieren, an die ein Schlüsselpaar gebunden werden soll.
nach oben
Zertifikatsfelder und -erweiterungen
Um den Inhalt eines typischen X.509-Zertifikats in freier Wildbahn zu überprüfen, untersuchen wir das SSL / von www.ssl.com.TLS Zertifikat, wie in Google Chrome gezeigt. (Sie können dies alles in Ihrem eigenen Browser auf jede HTTPS-Website überprüfen, indem Sie auf das Schloss links in der Adressleiste klicken.)
- Die erste Gruppe von Details enthält Informationen über dieBetreff, einschließlich des Namens und der Adresse des Unternehmens und derGemeinsamen Namen (oder vollständig qualifizierter Domainname) der Website, die durch das Zertifikat geschützt werden soll. (Hinweis: Seriennummer In diesem Betrefffeld wird eine Nevada-Geschäftsidentifikationsnummer angezeigt, nicht die Seriennummer des Zertifikats selbst.)
- Beim Scrollen nach unten stoßen wir auf Informationen über dieAussteller. Nicht zufällig ist in diesem Fall die Organisation ist "SSL Corp" sowohl für das Subjekt als auch für den Emittenten, jedoch für den EmittentenGemeinsamen Namen ist der Name des ausstellenden CA-Zertifikats anstelle einer URL.
- Unterhalb der Emittentin sehen wir die ZertifikateSeriennummer (eine positive Ganzzahl, die das Zertifikat eindeutig identifiziert), X.509 Version (3), derSignaturalgorithmusund Daten, die das Zertifikat angebenGültigkeitszeitraum.
- Als nächstes erreichen wir die public Key,Signatureund zugehörige Informationen.
- Zusätzlich zu den obigen Feldern enthalten X.509 v3-Zertifikate eine Gruppe vonErweiterungsoptionen Diese bieten zusätzliche Flexibilität bei der Verwendung von Zertifikaten. Zum Beispiel dieSubject Alternative Name Durch die Erweiterung kann das Zertifikat an mehrere Identitäten gebunden werden. (Aus diesem Grund werden Zertifikate mit mehreren Domänen manchmal als bezeichnetSAN-Zertifikate). Im folgenden Beispiel sehen wir, dass das Zertifikat tatsächlich elf verschiedene SSL.com-Subdomänen abdeckt:
- DasFingerabdrücke Die unten gezeigten Zertifikatinformationen in Chrome sind nicht Teil des Zertifikats selbst, sondern unabhängig berechnete Hashes, mit denen ein Zertifikat eindeutig identifiziert werden kann.
nach oben
Zertifikatsketten
Aus administrativen und sicherheitsrelevanten Gründen werden X.509-Zertifikate normalerweise in kombiniertKetten zur Validierung. Wie im Screenshot von Google Chrome unten gezeigt, ist das SSL /TLS Das Zertifikat für www.ssl.com wird von einem der Zwischenzertifikate von SSL.com signiert. SSL.com EV SSL Intermediate CA RSA R3. Das Zwischenzertifikat wird wiederum vom EV RSA-Stamm von SSL.com signiert:
Für öffentlich vertrauenswürdige Websites stellt der Webserver seine eigenen bereit Endeinheit Zertifikat sowie alle für die Validierung erforderlichen Zwischenprodukte. Das Zertifikat der Stammzertifizierungsstelle mit seinem öffentlichen Schlüssel wird in das Betriebssystem und / oder die Browseranwendung des Endbenutzers aufgenommen, was zu einem vollständigen Zertifikat führt Kette des Vertrauens.
nach oben
Widerruf
X.509-Zertifikate, die vor ihrem ungültig gemacht werden müssenNicht gültig nach Datum kann sein widerrufen. Wie oben erwähnt,RFC 5280 Profile Certificate Revocation Lists (CRLs), Zeitstempellisten mit gesperrten Zertifikaten, die von Browsern und anderer Client-Software abgefragt werden können.
Im Web haben sich CRLs in der Praxis als unwirksam erwiesen und wurden durch andere Lösungen für die Widerrufsprüfung ersetzt, einschließlich des OCSP-Protokolls (veröffentlicht in RFC 2560), OCSP Stapling (veröffentlicht in RFC 6066, Abschnitt 8, als "Certificate Status Request") und eine Auswahl herstellerspezifischer Lösungen, die in verschiedenen Webbrowsern implementiert sind. Weitere Informationen zur heiklen Geschichte der Widerrufsprüfung und zur aktuellen Überprüfung des Widerrufsstatus von Zertifikaten durch aktuelle Browser finden Sie in unseren Artikeln.Optimierung des Seitenladens: OCSP-Heften undWie gehen Browser mit widerrufenem SSL um?TLS Zertifikate?
nach oben
Häufig gestellte Fragen
Was ist ein X.509-Zertifikat?
X.509 ist ein Standardformat für Public-Key-Zertifikate, digitale Dokumente, die kryptografische Schlüsselpaare sicher mit Identitäten wie Websites, Einzelpersonen oder Organisationen verknüpfen. RFC 5280 Profiliert das X.509 v3-Zertifikat, die X.509 v2-Zertifikatsperrliste (CRL) und beschreibt einen Algorithmus für die Überprüfung des X.509-Zertifikatpfads.
Wofür werden X.509-Zertifikate verwendet?
Häufige Anwendungen von X.509-Zertifikaten sind: SSL /TLS und HTTPS für authentifiziertes und verschlüsseltes Surfen im Internet, signierte und verschlüsselte E-Mails über die S/MIME Protokoll, Codesignatur, Signieren von Dokumenten, Client-Authentifizierung und von der Regierung ausgestellter elektronischer Ausweis.
Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis.
