什么是 X.509 證書以及它是如何工作的？( 二 )

2026-05-10 生活百科

主題專有名稱 – 頒發證書的身份名稱

主題公鑰信息——與身份相關的公鑰

?
編輯
圖：TLS/SSL 證書中顯示的標準證書信息字段
通用數字證書擴展
除了其標準信息字段外，X.509 版本 3 還定義了多個擴展，旨在支持客戶端應用程序使用 Internet 的擴展方式。目前使用的兩個常見 X.509 證書擴展是主題備用名稱和密鑰用法。

主題備用名稱擴展允許其他身份也與證書的公鑰相關聯。這可能包括其他域、DNS 名稱、電子郵件地址和 IP 地址 ?；诖藬U展，CA 提供的多域證書通常稱為 SAN 證書。
密鑰使用將密鑰的使用限制為特定目的，例如“僅簽名” 。

數字證書應用分層信任鏈
為了進一步建立身份的信任，通常將多個數字證書組合起來，構建一個分層的信任鏈，提供一系列的驗證層。如前所述，作為 X.509 驗證過程的一部分，每個都必須由頒發者 CA 簽名。CA 被命名并存儲在證書的根目錄中。其他中間證書可以包含在信任鏈中，并且必須經過驗證。
例如，當 Web 瀏覽器客戶端讀取證書時，它必須能夠遵循證書的分層路徑，包括驗證所需的任何中間體，這些中間體遞歸地鏈接回客戶端信任存儲中列出的根 CA，從而形成完整的鏈的信任。
?
編輯
圖：SSL/TLS 證書通常結合中間證書創建分層信任鏈
證書吊銷列表 (CRL)
X.509 標準還定義了證書撤銷列表的使用，該列表標識了在計劃的到期日期之前已被頒發 CA 撤銷的所有數字證書。
這些被吊銷的證書不應再受信任。
CRL 提供了一種簡單的方法來分發有關這些無效證書的信息。但是，流行的 Web 瀏覽器和客戶端越來越不贊成使用它們，轉而支持在線證書狀態協議 (OCSP) 和提供完整撤銷功能的 OCSP 裝訂。
PKI 證書編碼
X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。
但是，通常有兩種編碼模式用于將數字證書存儲在文件中：

可分辨編碼規則 (DER) - 最常見，因為架構處理大多數數據對象。DER 編碼的證書是二進制文件，不能被文本編輯器讀取，但可以被 Web 瀏覽器和許多客戶端應用程序處理。
隱私增強郵件 (PEM) 是一種加密的電子郵件編碼模式，可用于將 DER 編碼的證書轉換為文本文件。

X.509 公鑰基礎設施的常見應用
許多互聯網協議都依賴于 X.509，PKI 技術的許多應用每天都在使用，包括 Web 服務器安全、數字簽名和文檔簽名以及數字身份。
使用 TLS/SSL 證書的 Web 服務器安全性
【什么是 X.509 證書以及它是如何工作的？】PKI 是安全套接字層 (SSL) 和傳輸層安全 (TLS) 協議的基?。鞘?HTTPS 安全瀏覽器連接的基礎。如果沒有 SSL 證書或 TLS 來建立安全連接，網絡犯罪分子可以利用 Internet 或其他 IP 網絡使用各種攻擊媒介（例如中間人攻擊）來攔截消息并訪問其內容。
數字簽名和文檔簽名
除了用于保護消息之外，基于 PKI 的證書還可用于數字簽名和文檔簽名。
數字簽名是一種特定類型的電子簽名，它利用 PKI 來驗證簽名者的身份以及簽名和文檔的完整性。數字簽名不能以任何方式更改或復制，因為簽名是通過生成散列創建的，散列使用發送者的私鑰加密。這種加密驗證在數學上將簽名綁定到原始消息，以確保發送者經過身份驗證并且消息本身沒有被更改。
代碼簽名
代碼簽名使應用程序開發人員能夠通過對應用程序、驅動程序和軟件程序進行數字簽名來增加一層保證，以便最終用戶可以驗證第三方沒有更改或破壞他們收到的代碼。為了驗證代碼的安全性和可信性，這些數字證書包括軟件開發人員的簽名、公司名稱和時間戳。
電子郵件證書
S/MIME 證書驗證電子郵件發件人并加密電子郵件內容，以防止日益復雜的社會工程和魚叉式網絡釣魚攻擊。通過加密/解密電子郵件和附件以及驗證身份，S/MIME 電子郵件證書向用戶保證電子郵件是真實且未經修改的。
SSH 密鑰
SSH 密鑰是 X.509 證書的一種形式，它提供用于安全外殼 (SSH) 協議的安全訪問憑證。由于 SSH 協議廣泛用于云服務、網絡環境、文件傳輸工具和配置管理工具中的通信，大多數組織使用 SSH 密鑰來驗證身份并保護這些服務免受意外使用或惡意攻擊。SSH 密鑰不僅可以提高安全性，還可以實現當今企業所需規模的連接流程、單點登錄 (SSO) 以及身份和訪問管理的自動化。

推薦閱讀

上一篇：C++ 中指針常量、指向常量的指針、引用類型的常量

下一篇：基于iNeuOS工業互聯網平臺的板材實時質檢系統