Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn
đƣa ra lần đầu tiên năm 1988. Chứng chỉ X.509 v3 là định dạng chứng chỉ đƣợc sử dụng khá phổ biến trên thế giới.
Chứng chỉ gồm 2 phần. Phần đầu là những trƣờng cơ bản cần thiết phải có trong chứng chỉ. Phần thứ hai chứa thêm một số trƣờng phụ, những trƣờng phụ này đƣợc gọi là trƣờng mở rộng dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống.
Khuôn dạng của chứng chỉ X.509 đƣợc chỉ ra nhƣ trong hình 2.2.
Hình 2.2 : Khuôn dạng chứng chỉ X.509
2.1.2.1. Các trường cơ bản của chứng chỉ X.509
Version: xác định số phiên bản của chứng chỉ.
Certificate Serial Number: do CA gán, là định danh duy nhất của chứng chỉ.
Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để ký số chứng chỉ, chẳng hạn nhƣ thuật toán RSA …
- Issuer: chỉ ra CA cấp và ký chứng chỉ.
- Validity Period: khoảng thời gian chứng chỉ có hiệu lực. Trƣờng này
Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn
- Subject: xác định thực thể mà khóa công khai của thực thể này đƣợc
xác nhận. Tên của subject phải duy nhất đối với mỗi thực thể CA xác nhận.
- Subject public key information: c h ứ a khóa công khai và những
tham số liên quan, xác định thuật toán (ví dụ RSA ) đƣợc sử dụng cùng với khóa.
- Issuer Unique ID (Optional): là trƣờng không bắt buộc, trƣờng này
cho phép sử dụng lại tên ngƣời cấp. Trƣờng này hiếm đƣợc sử dụng trong triển khai thực tế.
Subject Unique ID (Optional): là trƣờng tuỳ chọn cho phép sử dụng
lại tên của subject khi quá hạn. Trƣờng này cũng ít đƣợc sử dụng.
- Extensions (Optional): chỉ có trong chứng chỉ v.3.
- Certification Authority’s Digital Signature: chữ ký số của CA
đƣợc tính từ những thông tin trên chứng chỉ với khóa riêng và thuật toán ký số đƣợc chỉ ra trong trƣờng Signature Algorithm Identifier của chứng chỉ.
2.1.2.2. Các trường mở rộng của chứng chỉ X.509
Những thông tin trong phần mở rộng thƣờng đƣợc dùng để quản lý xác thực phân cấp, chính sách chứng chỉ, thông tin về chứng chỉ bị thu hồi…
- Authority Key Indentifier: Chứa ID khóa công khai của CA, ID
này là duy nhất và đƣợc dùng để kiểm tra chữ ký số trên chứng chỉ. Nó cũng đƣợc sử dụng để phân biệt giữa các cặp khóa do một CA sử dụng (trong trƣờng hợp nếu CA có nhiều hơn một khóa công khai). Trƣờng này đƣợc sử dụng cho tất cả các chứng chỉ tự ký số (CA - certificates).
- Subject Key Identifier: Chứa ID khóa công khai có trong chứng
chỉ và đƣợc sử dụng để phân biệt giữa các khóa nếu nhƣ có nhiều khóa đƣợc gắn vào trong cùng chứng chỉ của ngƣời sử dụng (Nếu chủ thể có nhiều hơn một khóa công khai).
- Key Usage: Chứa một chuỗi bit đƣợc sử dụng để xác định (hoặc
Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn
khai trong chứng chỉ.
- Extended Key Usage: Chứa một hoặc nhiều OIDs (định danh
đối tƣợng – Object Identifier) để xác định cụ thể việc sử dụng khóa công khai trong chứng chỉ. Các giá trị có thể là : (1) xác thực server, (2) xác thực client , (3) Ký Mã, (4) bảo mật e-mail , (5) Tem thời gian.
- CRL Distribution Point: C hỉ ra vị trí của CRL tức là nơi hiện có thông tin thu hồi chứng chỉ. Nó có thể là LDAP server.
- Private Key Usage Period: trƣờng này cho biết thời gian sử
dụng của khóa riêng gắn với khóa công khai trong chứng chỉ.
- Certificate Policies: Trƣờng này chỉ ra dãy các chính sách OIDs
gắn với việc cấp và sử dụng chứng chỉ.
- Policy Mappings: Trƣờng này chỉ ra chính sách xác thực
tƣơng đƣơng giữa hai miền CA. Nó đƣợc sử dụng trong việc thiết lập xác thực chéo và kiểm tra đƣờng dẫn chứng chỉ. Trƣờng này chỉ có trong chứng chỉ CA.
- Subject Alternative Name: Chỉ ra những dạng tên lựa chọn gắn
với ngƣời sở hữu chứng chỉ. Những giá trị có thể là: Địa chỉ e-mail, địa chỉ IP…
- Issuer Alternative Name: chỉ ra những dạng tên lựa chọn gắn
với ngƣời cấp chứng chỉ.
- Subject Directory Attributes: trƣờng này chỉ ra dãy các thuộc
tính gắn với ngƣời sở hữu chứng chỉ. Trƣờng mở rộng này không đƣợc sử dụng rộng rãi. Nó đƣợc dùng để chứa những thông tin liên quan đến đặc quyền.
- Basic Constraints Field: trƣờng này cho biết đây có phải là
chứng chỉ CA hay không bằng cách thiết lập giá trị logic (true). Trƣờng này chỉ có trong chứng chỉ CA. Chứng chỉ CA dùng để thực hiện một số chức năng. Chứng chỉ này có thể ở một trong hai dạng. Nếu CA tạo ra
Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn
chứng chỉ để tự sử dụng, chứng chỉ này đƣợc gọi là chứng chỉ CA tự ký. Khi một CA mới đƣợc thiết lập, CA tạo ra một chứng chỉ CA tự ký để ký lên chứng chỉ của ngƣời sử dụng cuối trong hệ thống. Và dạng thứ hai là CA cấp chứng chỉ cho những CA khác trong hệ thống.
- Path Length Constraint: trƣờng này chỉ ra số độ dài tối đa
của đƣờng dẫn chứng chỉ có thể đƣợc thiết lập. Giá trị “zero” chỉ ra rằng CA chỉ có thể cấp chứng chỉ cho thực thể cuối, không cấp chứng chỉ cho những CA khác. (Trƣờng này chỉ có trong chứng chỉ của CA).
- Name Constrainsts: đƣợc dùng để bao gồm hoặc loại trừ các
nhánh trong những miền khác nhau trong khi thiết lập môi trƣờng tin tƣởng giữa các miền PKI.
- Policy Constraints: đƣợc dùng để bao gồm hoặc loại trừ một số chính sách chứng chỉ trong khi thiết lập môi trƣờng
Hình 2.3 Minh họa nội dung chi tiết của một chứng chỉ do hệ thống thửnghiệm cấp.
Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn