Протоколы безопасного сетевого взаимодействия


Введение в PKI - часть 3


В результате ISO/IEC, ITU-T и ANSI X9 разработали формат сертификата Х.509 версии 3 (v3). Формат v3 расширяет формат v2 путем добавления заготовок для дополнительных полей расширения. Конкретные типы полей расширения могут быть определены в стандартах или определены и зарегистрированы любой организацией или сообществом. В июне 1996 года стандартизация базового формата v3 была завершена.

Однако расширения стандарта ISO/IEC, ITU-T и ANSI X9 являются очень общими, чтобы применять их на практике. Для того чтобы разрабатывать интероперабельные реализации систем, взаимно использующие сертификаты Х.509 v3, необходимо четко специфицировать формат сертификата Х.509 v3. Специалисты IETF разработали профиль сертификата X.509 v3 и опубликовали его в RFC 3280.

В табл. 13.2 рассмотрены основные элементы сертификата.

Таблица 13.2. Основные элементы сертификата

ПояснениеПараметры сертификатаВерсия
Целое число, идентифицирующее данный сертификат, которое должно быть уникальным среди всех сертификатов, выпущенных данным САСерийный номерv1v2v3
СА, который создал и подписал сертификатИмя СА, выпустившего сертификат
Период действительности состоит из двух временных значений, в промежутке между которыми сертификат считается действительнымНе раньше
Не позже
Конечный участник, для которого создан данный сертификатИмя субъекта (конечного участника)
Открытый ключ субъекта и алгоритм, для которого этот ключ был созданАлгоритм
Параметры
Открытый ключ субъекта
Уникальный идентификатор СА
Уникальный идентификатор субъекта
Расширения
Подпись охватывает все остальные поля сертификата и состоит из хэш-кода других полей, зашифрованного закрытым ключом САПодпись, созданная закрытым ключом СА для всех полей сертификатаВсе версии

Часто используется следующая нотация для обозначения сертификата:

СА << A >>

– сертификат пользователя А, выданный сертификационным центром СА.

СА подписывает сертификат своим закрытым ключом. Если соответствующий открытый ключ известен пользователю, то пользователь может проверить, что сертификат, подписанный СА, действителен.




- Начало -  - Назад -  - Вперед -