ITU-T X.509 公钥证书标准
标准编号:ITU-T X.509 | 等效 ISO/IEC 9594-8
发布组织:ITU-T (SG17) 和 ISO/IEC JTC 1
最新版本:X.509 (2021) | 广泛应用于 PKIX 系列 (RFC 5280 等)。
摘要:X.509 定义了公钥证书、属性证书和证书撤销列表 (CRL) 的语法和数据模型,是公钥基础设施 (PKI) 的基石。证书将身份信息与公钥绑定,由证书颁发机构 (CA) 签名。它借助 ASN.1 编码,支持各种扩展,广泛用于 HTTPS (SSL/TLS)、S/MIME、代码签名、文档签名和安全电子邮件。
核心组成部分:
- TBSCertificate (待签名证书): 包含版本号、序列号、签名算法、签发者名称、有效期、主体名称、主体公钥信息以及若干扩展字段(如密钥用法、扩展密钥用法、主题备用名)。
- 签名算法: CA 对该 TBSCertificate 进行签名的算法标识符。
- 签名值: CA 的签名结果(BitString)。
- 证书撤销列表 (CRL): 由 CA 定期签发的已吊销证书序列号列表。
版本演进:v1 (1988), v2 (1993), v3 (1996) – v3 引入了扩展字段,增强了证书的灵活性和功能性(如限制证书用途、路径长度约束等)。
PKIX 标准 (RFC 5280): 它定义了在互联网上使用 X.509 证书和 CRL 的配置文件,规定了处理证书路径验证、扩展字段和算法约定等详细指南。
官方资源: ITU-T X.509 主页 | RFC 5280 (PKIX 证书和 CRL 框架)
关联工具: ASN.1 解析器 | 哈希摘要工具 | 非对称加密工具 (RSA/ECC)