數字證書

對於非對稱加密算法和數字簽名來說,很重要的步驟就是公鑰的分發。理論上任何人都可以獲取到公開的公鑰。然而這個公鑰文件有沒有可能是偽造的呢?傳輸過程中有沒有可能被篡改呢?一旦公鑰自身出了問題,則整個建立在其上的的安全性將不復成立。

數字證書機制正是為了解決這個問題,它就像日常生活中的證書一樣,可以確保所記錄信息的合法性。比如證明某個公鑰是某個實體(個人或組織)擁有,並且確保任何篡改都能被檢測出來,從而實現對用戶公鑰的安全分發。

根據所保護公鑰的用途,數字證書可以分為加密數字證書(Encryption Certificate)和簽名驗證數字證書(Signature Certificate)。前者往往用於保護用於加密用途的公鑰;後者則保護用於簽名用途的公鑰。兩種類型的公鑰也可以同時放在同一證書中。

一般情況下,證書需要由證書認證機構(Certification Authority,CA)來進行簽發和背書。權威的商業證書認證機構包括 DigiCert、GlobalSign、VeriSign 等。用戶也可以自行搭建本地 CA 系統,在私有網絡中進行使用。

X.509 證書規範

一般的,一個數字證書內容可能包括證書域(證書的版本、序列號、簽名算法類型、簽發者信息、有效期、被簽發主體、簽發的公開密鑰)、CA 對證書的簽名算法和簽名值等。

目前使用最廣泛的標準為 ITU 和 ISO 聯合制定的 X.509 的 v3 版本規範(RFC 5280),其中定義瞭如下證書信息域:

  • 版本號(Version Number):規範的版本號,目前為版本 3,值為 0x2;

  • 序列號(Serial Number):由 CA 維護的為它所頒發的每個證書分配的唯一的序列號,用來追蹤和撤銷證書。只要擁有簽發者信息和序列號,就可以唯一標識一個證書。最大不能超過 20 個字節;

  • 簽名算法(Signature Algorithm):數字簽名所採用的算法,如 sha256WithRSAEncryption 或 ecdsa-with-SHA256;

  • 頒發者(Issuer):頒發證書單位的信息,如 “C=CN, ST=Beijing, L=Beijing, O=org.example.com, CN=ca.org.example.com”;

  • 有效期(Validity):證書的有效期限,包括起止時間(如 Not Before 2018-08-08-00-00UTC,Not After 2028-08-08-00-00UTC);

  • 被簽發主體(Subject):證書擁有者的標識信息(Distinguished Name),如 “C=CN, ST=Beijing, L=Beijing, CN=personA.org.example.com”;

  • 主體的公鑰信息(Subject Public Key Info):所保護的公鑰相關的信息;

    • 公鑰算法(Public Key Algorithm):公鑰採用的算法;

    • 主體公鑰(Subject Public Key):公鑰的內容;

  • 頒發者唯一號(Issuer Unique Identifier,可選):代表頒發者的唯一信息,僅 2、3 版本支持,可選;

  • 主體唯一號(Subject Unique Identifier,可選):代表擁有證書實體的唯一信息,僅 2、3 版本支持,可選;

  • 擴展(Extensions,可選):可選的一些擴展。可能包括:

    • Subject Key Identifier:實體的密鑰標識符,區分實體的多對密鑰;

    • Basic Constraints:一般指明該證書是否屬於某個 CA;

    • Authority Key Identifier:頒發這個證書的頒發者的公鑰標識符;

    • Authority Information Access:頒發相關的服務地址,如頒發者證書獲取地址和吊銷證書列表信息查詢地址;

    • CRL Distribution Points:證書註銷列表的發佈地址;

    • Key Usage: 表明證書的用途或功能信息,如 Digital Signature、Key CertSign;

    • Subject Alternative Name:證書身份實體的別名,如該證書可以同樣代表 .org.example.com,org.example.com,.example.com,example.com 身份等。

此外,證書的頒發者還需要對證書內容利用自己的私鑰進行簽名,以防止他人篡改證書內容。

證書格式

X.509 規範中一般推薦使用 PEM(Privacy Enhanced Mail)格式來存儲證書相關的文件。證書文件的文件名後綴一般為 .crt.cer,對應私鑰文件的文件名後綴一般為 .key,證書請求文件的文件名後綴為 .csr。有時候也統一用 .pem 作為文件名後綴。

PEM 格式採用文本方式進行存儲,一般包括首尾標記和內容塊,內容塊採用 base64 編碼。

例如,一個示例證書文件的 PEM 格式如下所示。

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

可以通過 openssl 工具來查看其內容。

# openssl x509 -in example.com-cert.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            22:13:22:47:3a:a4:0a:58:ea:dd:95:e7:b2:5e:84:8a
    Signature Algorithm: ecdsa-with-SHA256
        Issuer: C=US, ST=California, L=San Francisco, O=example.com, CN=example.com
        Validity
            Not Before: Apr 25 03:30:37 2017 GMT
            Not After : Apr 23 03:30:37 2027 GMT
        Subject: C=US, ST=California, L=San Francisco, O=example.com, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    04:29:08:1d:9d:e6:24:21:0f:6c:86:d4:76:1f:ca:
                    cf:7c:d6:5b:50:bd:c3:19:d9:3b:07:f2:ca:b8:6b:
                    e9:a1:f0:59:11:16:dd:9a:4c:58:a5:1c:6e:c6:2e:
                    a7:99:1b:a2:e0:5c:d9:db:cc:15:48:28:3c:1a:1a:
                    15:82:7d:0f:44
                ASN1 OID: prime256v1
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign, CRL Sign
            X509v3 Extended Key Usage:
                Any Extended Key Usage, TLS Web Server Authentication
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                48:03:F0:E6:7A:6C:13:1A:26:DB:19:EF:2E:5A:3B:79:86:79:44:EB:74:94:B1:7B:8D:28:EF:62:18:48:55:A8
    Signature Algorithm: ecdsa-with-SHA256
         30:45:02:21:00:ca:83:0e:d8:10:10:dd:cf:60:04:93:a4:d6:
         84:b2:5c:fe:f4:5d:19:38:75:3c:17:30:5e:ea:47:bd:a2:8c:
         b1:02:20:52:8b:00:da:60:58:5a:0c:a2:8d:d6:f7:5b:b3:25:
         e5:26:9d:b2:49:b7:c2:65:af:4d:01:ca:3b:ab:7c:0b:ef

此外,還有 DER(Distinguished Encoding Rules)格式,是採用二進制對證書進行保存,可以與 PEM 格式互相轉換。

證書信任鏈

證書中記錄了大量信息,其中最重要的包括 簽發的公開密鑰CA 數字簽名 兩個信息。因此,只要使用 CA 的公鑰再次對這個證書進行簽名比對,就能證明所記錄的公鑰是否合法。

讀者可能會想到,怎麼證明用來驗證對實體證書進行簽名的 CA 公鑰自身是否合法呢?畢竟在獲取 CA 公鑰的過程中,它也可能被篡改掉。

實際上,CA 的公鑰是否合法,一方面可以通過更上層的 CA 頒發的證書來進行認證;另一方面某些根 CA(Root CA)可以通過預先分發證書來實現信任基礎。例如,主流操作系統和瀏覽器裡面,往往會提前預置一些權威 CA 的證書(通過自身的私鑰簽名,系統承認這些是合法的證書)。之後所有基於這些 CA 認證過的中間層 CA(Intermediate CA)和後繼 CA 都會被驗證合法。這樣就從預先信任的根證書,經過中間層證書,到最底下的實體證書,構成一條完整的證書信任鏈。

某些時候用戶在使用瀏覽器訪問某些網站時,可能會被提示是否信任對方的證書。這說明該網站證書無法被當前系統中的證書信任鏈進行驗證,需要進行額外檢查。另外,當信任鏈上任一證書不可靠時,則依賴它的所有後繼證書都將失去保障。

可見,證書作為公鑰信任的基礎,對其生命週期進行安全管理十分關鍵。後面章節將介紹的 PKI 體系提供了一套完整的證書管理的框架,包括生成、頒發、撤銷過程等。

Previous消息認證碼與數字簽名NextPKI 體系

Last updated