X.509

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

У криптографії, X.509 — це стандарт ITU-T для інфраструктури відкритого (публічного) ключа (англ. public key infrastructure (PKI)) та інфраструктури управління привілеями (англ. Privilege Management Infrastructure (PMI)).

X.509 визначає стандартні формати для сертифікатів відкритого ключа (англ. public key certificates), списку відкликаних сертифікатів (англ. certificate revocation lists), атрибутів сертифікатів (англ. attribute certificates) та алгоритм валідації шляху сертифікації (англ. certification path validation algorithm).

Історія[ред.ред. код]

X.509 був виданий 3 липня 1988 року і був зв'язаний зі стандартом X.500.

Особливості[ред.ред. код]

Для випуску сертифікатів існує чітко визначена ієрархічна система відповідальних органів (англ. certificate authorities — CAs). У цьому його відмінність від моделей основаних на принципі мережі довіри (англ. web of trust), подібним до PGP, де будь-хто (не тільки спеціальні органи — CAs) можуть випускати, підписувати і перевіряти відповідність. Версія 3 X.509 має гнучкість для підтримки таких топологій як мости (bridges) та сітки (meshes). Може бути використаний у p2p мережах, але таким чином використовується рідко.

Структура сертифікату[ред.ред. код]

  • Сертифікат (Certificate)
    • Версія (Version)
    • Серійний номер (Serial Number)
    • ідентифікатор алгоритму (Algorithm ID)
    • Видавець (Issuer)
    • Період дії (Validity) включає у себе:
      • не перед (Not Before)
      • не після (Not After)
    • суб’єкт сертифікату (Subject)
    • інформація про публічний ключ суб’єкту (Subject Public Key Info):
      • алгоритм (Public Key Algorithm)
      • публічний ключ (Subject Public Key)
    • унікальний ідентифікатор видавця (Issuer Unique Identifier ) — необов'язково
    • унікальний ідентифікатор суб’єкту (Subject Unique Identifier) — необов'язково
    • розширення (Extensions )- необов'язково
      • …можливі додаткові деталі
  • алгоритм підпису сертифікату(Certificate Signature Algorithm)
  • підпис сертифікату(Certificate Signature)

Загальновживані розширення файлів сертифікатів[ред.ред. код]

  • .CERCER закодований сертифікат, або набір сертифікатів
  • .DERDER закодований сертифікат
  • .PEM — (Privacy Enhanced Mail) Base64 закодований DER сертифікат, поміщений між «-----BEGIN CERTIFICATE-----» and «-----END CERTIFICATE-----»
  • .P7B — Див. .p7c
  • .P7CPKCS#7 Підписана структура без даних, просто сертифікат(-и) чи список сертифікатів які вже не дійсні
  • .PFX — Див. .p12
  • .P12PKCS#12 можуть містити публічні та приватні ключі захищені паролем.

Посилання[ред.ред. код]