Sdílet prostřednictvím

Certifikáty veřejného klíče X.509

  • Článek

Kryptografie veřejného klíče využívá pár veřejného a privátního klíče k šifrování a dešifrování obsahu. Klíče jsou matematicky související a obsah šifrovaný pomocí jednoho z klíčů je možné dešifrovat pouze pomocí druhého klíče. Privátní klíč se uchovává v tajnosti. Veřejný klíč je obvykle vložený do binárního certifikátu a certifikát se publikuje do databáze, ke které mají přístup všichni autorizovaní uživatelé.

Standard infrastruktury veřejných klíčů (PKI) X.509 identifikuje požadavky na robustní certifikáty veřejných klíčů. Certifikát je podepsaná datová struktura, která váže veřejný klíč k osobě, počítači nebo organizaci. Certifikáty vydává certifikační autority (CA). Všichni, kdo jsou stranou zabezpečení komunikace, která využívá veřejný klíč, spoléhají na certifikační autoritu, aby odpovídajícím způsobem ověřili identity jednotlivců, systémů nebo entit, kterým vydává certifikáty. Úroveň ověřování obvykle závisí na úrovni zabezpečení vyžadované pro transakci. Pokud certifikační autorita může vhodně ověřit identitu žadatele, podepíše (šifruje), zakóduje a vydá certifikát.

Certifikát je podepsaná datová struktura, která sváže veřejný klíč s entitou. Syntaxe Abstraktní zápis syntaxe One (ASN.1) pro certifikát X.509 verze 3 je znázorněna v následujícím příkladu.

-- X.509 signed certificate 

SignedContent ::= SEQUENCE 
{
  certificate         CertificateToBeSigned,
  algorithm           Object Identifier,
  signature           BITSTRING
}
 
-- X.509 certificate to be signed

CertificateToBeSigned ::= SEQUENCE 
{
  version                 [0] CertificateVersion DEFAULT v1,
  serialNumber            CertificateSerialNumber,
  signature               AlgorithmIdentifier,
  issuer                  Name
  validity                Validity,
  subject                 Name
  subjectPublicKeyInfo    SubjectPublicKeyInfo,
  issuerUniqueIdentifier  [1] IMPLICIT UniqueIdentifier OPTIONAL,
  subjectUniqueIdentifier [2] IMPLICIT UniqueIdentifier OPTIONAL,
  extensions              [3] Extensions OPTIONAL
}

Od svého vzniku v roce 1998 se vyvinuly tři verze standardu certifikátu veřejného klíče X.509. Jak je znázorněno na následujícím obrázku, každá následná verze datové struktury zachovala pole, která existovala v předchozích verzích, a přidala další.

certifikáty x.509 verze 1, 2 a 3

V následujících tématech najdete podrobnější informace o dostupných polích:

infrastruktury veřejných klíčů