Национальный исследовательский ядерный университет «МИФИ»
Опубликован: 15.11.2006 | Доступ: свободный | Студентов: 2276 / 435 | Оценка: 4.33 / 3.99 | Длительность: 29:21:00
ISBN: 978-5-9556-0081-9
Лекция 6:

Сертификаты открытых ключей

< Лекция 5 || Лекция 6: 123456 || Лекция 7 >
Таблица 6.1. Формат сертификата X.509
Версия v1 Элемент Название Описание
version Версия Версия (0 означает v1, 2 означает v3)
serialNumber Серийный номер сертификата Серийный номер сертификата
signature.algorithm

Identifier

algorithm

parameters

Идентификатор алгоритма подписи Тип алгоритма подписи

.

Алгоритм

Параметры

issuer Издатель Уникальное название УЦ, выпустившего сертификат
Validity

NotBefore

notAfter

Период действия Период действия

Дата и время начала действия

Дата и время окончания действия

subject Субъект Уникальное имя субъекта
SubjectPublicKeyInfo

Algorithm

subjectPublicKey

Информация об открытом ключе субъекта Информация об открытом ключе субъекта

Криптографический алгоритм

Ключ (строка битов)

Версия v2 issuerUniqueID Уникальный идентификатор издателя Уникальный идентификатор УЦ, выпустившего сертификат
subjectUniqueID Уникальный идентификатор субъекта Уникальный идентификатор субъекта сертификата
AuthorityKeyIdentifier

keyIdentifier

authorityCertIssuer

authorityCertSerialNumber

Идентификатор ключа УЦ Идентификатор ключа УЦ

Идентификатор ключа

Общее название УЦ

Серийный номер сертификата УЦ

subjectKeyIdentifier Идентификатор ключа субъекта Идентификатор, используемый тогда, когда субъект имеет более одного ключа (например, во время возобновления сертификата)
Версия v3 keyUsage

digitalSignature

.

nonRepudiation

keyEncipherment

dataEncipherment

.

.

.

keyAgreement

.

.

KeyCertSign

.

.

CRLSign

Назначение ключа Назначение ключа (строки битов)

1. Формирование и проверка

цифровой подписи

2. Неотказуемость

3. Шифрование других ключей

4. Шифрование и расшифрова-

ние данных и контроль цело-

стности с использованием

имитозащиты

5. Формирование других ключей

(например, по алгоритму

Диффи-Хелмана)

6. Формирование ЭЦП серти-

фикатов. Может использо-

ваться УЦ

7. Формирование ЭЦП САС.

Может использоваться УЦ

keyUsage

EncipherOnly

DecipherOnly

Назначение ключа Назначение ключа (строки битов)

8. Только для шифрования

9. Только для расшифрования

extendedKeyUsage Расширенное назначение ключа Задает одно или несколько назначений ключа помимо или вместо дополнения keyUsage
cRLDistributionPoint Пункт распространения списков аннулированных сертификатов Задает унифицированный идентификатор ресурса (URL) для указания местонахождения списков САС
privateKeyUsagePeriod Период действия секретного ключа Период действия секретного ключа, соответствующего открытому ключу в данном сертификате. При отсутствии этого дополнения периоды действия секретного и открытого ключей совпадают
certificatePolicies Политики применения сертификат Содержит уникальный идентификатор объекта OID, характеризующий политику применения сертификата и назначение сертификата
PolicyMappings

IssuerDomainPolicy

SubjectDomainPolicy

Соответствие политик Используется только в сертификатах УЦ. Задает один или несколько идентификаторов объекта в составе домена УЦ издателя, которые должны совпадать с политикой в составе домена УЦ субъекта
BasicConstraints Основные ограничения Указывает, действует ли субъект как УЦ, задает длину пути сертификации
PolicyConstraints Ограничение политик Используется только в сертификатах УЦ, задает проверку пути к политике, запрашивая идентификаторы политик и (или) запрещая задание соответствий политик
NameConstraints Ограничения на имена Используется только в сертификатах УЦ, задает пространство имен, которому должны принадлежать имена субъектов любого следующего сертификата в пути сертификации
SubjectAltName

.

OtherName

rfc822Name

dNSName

x400Address

directoryName

ediPartyName

uniformResource-

Identifier

iPAddress

registeredID

Альтернативное имя субъекта Альтернативное имя субъекта.

Свободный выбор имени.

Произвольное имя

Адрес электронной почты

Имя домена

Адрес отправителя/получателя

Имя каталога

EDI-имя

Унифицированный указатель

ресурсов WWW URL

IP-адрес

Зарегистрированный ID объекта

issuerAltName Альтернативное имя издателя Альтернативное имя издателя
SubjectDirectory Attributes Атрибуты каталога субъекта Необязательные атрибуты субъекта, например, почтовый адрес, номер телефона и т.п.

Поле Subject Public Key Information содержит информацию об открытом ключе субъекта: сам открытый ключ, необязательные параметры и идентификатор алгоритма генерации ключа. Это поле всегда должно содержать значение. Открытый ключ и необязательные параметры алгоритма используются для верификации цифровой подписи (если субъектом сертификата является УЦ) или управления ключами.

Необязательные поля Issuer Unique Identifier и Subject Unique Identifier информируют об уникальных идентификаторах субъекта и издателя сертификата и предназначены для управления многократным использованием имен субъектов и издателей. Вследствие неэффективности подобного механизма управления Интернет-стандарты профилей сертификата и списка аннулированных сертификатов не рекомендуют использовать в сертификатах эти поля.

< Лекция 5 || Лекция 6: 123456 || Лекция 7 >
Жанар Каппасова
Жанар Каппасова

было бы удобнее если после вопроса было написано сколько вариантов ответа требуется указать. к примеру один вариант или несколько. прошла тест оказалось что нужно несколько а я ответила по одному на каждый вопрос. как то не удобно. 

Владислав Лагвинович
Владислав Лагвинович

Прошел 5 или 6 тестов по курсу Инфраструктура открытых ключей, а сейчас курс в состоянии не готов. Что случилось?

Михаил Трифонов
Михаил Трифонов
Россия, Ленинград, ЛГМИ Ленинградский Гидрометеорологический Институт, 1986