Chứng chỉ khóa công khai X.509

Một phần của tài liệu CHỮ ký số và ỨNG DỤNG (Trang 39 - 44)

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn

đƣa ra lần đầu tiên năm 1988. Chứng chỉ X.509 v3 là định dạng chứng chỉ đƣợc sử dụng khá phổ biến trên thế giới.

Chứng chỉ gồm 2 phần. Phần đầu là những trƣờng cơ bản cần thiết phải có trong chứng chỉ. Phần thứ hai chứa thêm một số trƣờng phụ, những trƣờng phụ này đƣợc gọi là trƣờng mở rộng dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống.

Khuôn dạng của chứng chỉ X.509 đƣợc chỉ ra nhƣ trong hình 2.2.

Hình 2.2 : Khuôn dạng chứng chỉ X.509

2.1.2.1. Các trường cơ bản của chứng chỉ X.509

 Version: xác định số phiên bản của chứng chỉ.

Certificate Serial Number: do CA gán, là định danh duy nhất của chứng chỉ.

 Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để ký số chứng chỉ, chẳng hạn nhƣ thuật toán RSA …

- Issuer: chỉ ra CA cấp và ký chứng chỉ.

- Validity Period: khoảng thời gian chứng chỉ có hiệu lực. Trƣờng này

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn

- Subject: xác định thực thể mà khóa công khai của thực thể này đƣợc

xác nhận. Tên của subject phải duy nhất đối với mỗi thực thể CA xác nhận.

- Subject public key information: c h ứ a khóa công khai và những

tham số liên quan, xác định thuật toán (ví dụ RSA ) đƣợc sử dụng cùng với khóa.

- Issuer Unique ID (Optional): là trƣờng không bắt buộc, trƣờng này

cho phép sử dụng lại tên ngƣời cấp. Trƣờng này hiếm đƣợc sử dụng trong triển khai thực tế.

 Subject Unique ID (Optional): là trƣờng tuỳ chọn cho phép sử dụng

lại tên của subject khi quá hạn. Trƣờng này cũng ít đƣợc sử dụng.

- Extensions (Optional): chỉ có trong chứng chỉ v.3.

- Certification Authority’s Digital Signature: chữ ký số của CA

đƣợc tính từ những thông tin trên chứng chỉ với khóa riêng và thuật toán ký số đƣợc chỉ ra trong trƣờng Signature Algorithm Identifier của chứng chỉ.

2.1.2.2. Các trường mở rộng của chứng chỉ X.509

Những thông tin trong phần mở rộng thƣờng đƣợc dùng để quản lý xác thực phân cấp, chính sách chứng chỉ, thông tin về chứng chỉ bị thu hồi…

- Authority Key Indentifier: Chứa ID khóa công khai của CA, ID

này là duy nhất và đƣợc dùng để kiểm tra chữ ký số trên chứng chỉ. Nó cũng đƣợc sử dụng để phân biệt giữa các cặp khóa do một CA sử dụng (trong trƣờng hợp nếu CA có nhiều hơn một khóa công khai). Trƣờng này đƣợc sử dụng cho tất cả các chứng chỉ tự ký số (CA - certificates).

- Subject Key Identifier: Chứa ID khóa công khai có trong chứng

chỉ và đƣợc sử dụng để phân biệt giữa các khóa nếu nhƣ có nhiều khóa đƣợc gắn vào trong cùng chứng chỉ của ngƣời sử dụng (Nếu chủ thể có nhiều hơn một khóa công khai).

- Key Usage: Chứa một chuỗi bit đƣợc sử dụng để xác định (hoặc

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn

khai trong chứng chỉ.

- Extended Key Usage: Chứa một hoặc nhiều OIDs (định danh

đối tƣợng – Object Identifier) để xác định cụ thể việc sử dụng khóa công khai trong chứng chỉ. Các giá trị có thể là : (1) xác thực server, (2) xác thực client , (3) Ký Mã, (4) bảo mật e-mail , (5) Tem thời gian.

- CRL Distribution Point: C hỉ ra vị trí của CRL tức là nơi hiện có thông tin thu hồi chứng chỉ. Nó có thể là LDAP server.

- Private Key Usage Period: trƣờng này cho biết thời gian sử

dụng của khóa riêng gắn với khóa công khai trong chứng chỉ.

- Certificate Policies: Trƣờng này chỉ ra dãy các chính sách OIDs

gắn với việc cấp và sử dụng chứng chỉ.

- Policy Mappings: Trƣờng này chỉ ra chính sách xác thực

tƣơng đƣơng giữa hai miền CA. Nó đƣợc sử dụng trong việc thiết lập xác thực chéo và kiểm tra đƣờng dẫn chứng chỉ. Trƣờng này chỉ có trong chứng chỉ CA.

- Subject Alternative Name: Chỉ ra những dạng tên lựa chọn gắn

với ngƣời sở hữu chứng chỉ. Những giá trị có thể là: Địa chỉ e-mail, địa chỉ IP…

- Issuer Alternative Name: chỉ ra những dạng tên lựa chọn gắn

với ngƣời cấp chứng chỉ.

- Subject Directory Attributes: trƣờng này chỉ ra dãy các thuộc

tính gắn với ngƣời sở hữu chứng chỉ. Trƣờng mở rộng này không đƣợc sử dụng rộng rãi. Nó đƣợc dùng để chứa những thông tin liên quan đến đặc quyền.

- Basic Constraints Field: trƣờng này cho biết đây có phải là

chứng chỉ CA hay không bằng cách thiết lập giá trị logic (true). Trƣờng này chỉ có trong chứng chỉ CA. Chứng chỉ CA dùng để thực hiện một số chức năng. Chứng chỉ này có thể ở một trong hai dạng. Nếu CA tạo ra

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn

chứng chỉ để tự sử dụng, chứng chỉ này đƣợc gọi là chứng chỉ CA tự ký. Khi một CA mới đƣợc thiết lập, CA tạo ra một chứng chỉ CA tự ký để ký lên chứng chỉ của ngƣời sử dụng cuối trong hệ thống. Và dạng thứ hai là CA cấp chứng chỉ cho những CA khác trong hệ thống.

- Path Length Constraint: trƣờng này chỉ ra số độ dài tối đa

của đƣờng dẫn chứng chỉ có thể đƣợc thiết lập. Giá trị “zero” chỉ ra rằng CA chỉ có thể cấp chứng chỉ cho thực thể cuối, không cấp chứng chỉ cho những CA khác. (Trƣờng này chỉ có trong chứng chỉ của CA).

- Name Constrainsts: đƣợc dùng để bao gồm hoặc loại trừ các

nhánh trong những miền khác nhau trong khi thiết lập môi trƣờng tin tƣởng giữa các miền PKI.

- Policy Constraints: đƣợc dùng để bao gồm hoặc loại trừ một số chính sách chứng chỉ trong khi thiết lập môi trƣờng

Hình 2.3 Minh họa nội dung chi tiết của một chứng chỉ do hệ thống thửnghiệm cấp.

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn

Một phần của tài liệu CHỮ ký số và ỨNG DỤNG (Trang 39 - 44)

Tải bản đầy đủ (PDF)

(78 trang)