X.509 数字认证
数字证书的主要任务是提供对使用者公钥的访问权限。 该证书还确认证书的公钥属于证书的使用者。 例如, 证书颁发机构 (CA) 可以 (证书信息) 对包含某些用户名称(例如“Alice”)及其公钥的证书信息进行数字签名。 这必须以这样一种方式完成,任何人都可以验证证书是否已由 CA 以外的任何人颁发和签名。 如果 CA 受信任且可以验证 Alice 的证书是由该 CA 颁发的,则 Alice 证书的任何接收方都可以信任 Alice 的公钥。
数字认证的典型实现涉及对证书进行签名的过程。
此过程如下所示:
- Alice 将签名 的证书请求 发送到 CA,其中包含她的姓名、公钥和一些附加信息。
- CA 从 Alice 的请求创建消息 m。 CA 使用其私钥对消息进行签名,并创建单独的签名消息 ,sig。 CA 将消息、 m 和签名( sig)返回到 Alice。 一起, m 和 sig 形成 Alice 的证书。
- Alice 将她的证书的两部分都发送给 Bob,以便他能够访问她的公钥。
- Bob 使用 CA 的公钥验证签名。 如果签名证明有效,则他接受证书中的公钥作为 Alice 的公钥。
与任何 数字签名一样,有权访问 CA 公钥的任何接收方都可以确定特定 CA 是否对证书签名。 此过程无需访问任何机密信息。 刚刚呈现的方案假定 Bob 有权访问 CA 的公钥。 如果 Bob 具有包含该公钥的 CA 证书的副本,则 Bob 将有权访问该密钥。
X.509 数字证书不仅包括用户名和公钥,还包括有关用户的其他信息。 这些证书不仅仅是在数字信任层次结构中踩踏石。 它们使 CA 能够为证书的接收方提供信任证书使用者的公钥,以及证书使用者的其他信息。 其他信息可以包括电子邮件地址、签署给定值的文档的授权,或授权成为 CA 并签署其他证书。
X.509 证书和其他许多证书具有有效的持续时间。 证书可以过期,并且不再有效。 CA 可以出于多种原因吊销证书。 为了处理吊销,CA 维护并分发名为 证书吊销列表 的已吊销证书列表, (CRL) 。 网络用户访问 CRL 以确定证书的有效性。