Chứng chỉ X.509 v3 là ựịnh dạng chứng chỉ ựược sử dụng phổ biến và ựược hầu hết các nhà cung cấp sản phẩm PKI triển khai.
Chứng chỉ khoá công khai X.509 ựược Hội viễn thông quốc tế (ITU) ựưa ra lần ựầu tiên năm 1988 như là một bộ phận của dịch vụ thư mục X.500.
Chứng chỉ gồm 2 phần. Phần ựầu là những trường cơ bản cần thiết phải có trong chứng chỉ. Phần thứ hai chứa thêm một số trường phụ, những trường phụ này ựược gọi là trường mở rộng dùng ựể xác ựịnh và ựáp ứng những yêu cầu bổ sung của hệ thống. Khuôn dạng của chứng chỉ X.509 ựược chỉ ra như trong hình 2.7.
Hình 2.7: Khuôn dạng chứng chỉ X.509 a. Những trường cơ bản của chứng chỉ X.509
- Version: xác ựịnh số phiên bản của chứng chỉ.
- Certificate Serial Number: do CA gán, là ựịnh danh duy nhất của chứng chỉ. - Signature Algorithm ID: chỉ ra thuật toán CA sử dụng ựể ký số chứng chỉ. Có
thể là thuật toán RSA hay DSAẦ
- Issuer: chỉ ra CA cấp và ký chứng chỉ.
- Validity Period: khoảng thời gian chứng chỉ có hiệu lực. Trường này xác ựịnh
thời gian chứng chỉ bắt ựầu có hiệu lực và thời ựiểm hết hạn.
- Subject: xác ựịnh thực thể mà khoá công khai của thực thể này ựược xác nhận.
Tên của subject phải duy nhất ựối với mỗi thực thể CA xác nhận.
- Subject public key information: chứa khoá công khai và những tham số liên
quan; xác ựịnh thuật toán (vắ dụ RSA hay DSA) ựược sử dụng cùng với khoá.
- Issuer Unique ID (Optional): là trường không bắt buộc, trường này cho phép
sử dụng lại tên người cấp. Trường này hiếm ựược sử dụng trong triển khai thực tế.
- Subject Unique ID (Optional): là trường tuỳ chọn cho phép sử dụng lại tên của
subject khi quá hạn. Trường này cũng ắt ựược sử dụng.
- Extensions (Optional): chỉ có trong chứng chỉ v.3.
- Certification AuthorityỖs Digital Signature: chữ ký số của CA ựược tắnh từ
những thông tin trên chứng chỉ với khoá riêng và thuật toán ký số ựược chỉ ra trong trường Signature Algorithm Identifier của chứng chỉ.
Tắnh toàn vẹn của chứng chỉ ựược ựảm bảo bằng chữ ký số của CA trên chứng chỉ. Khoá công khai của CA ựược phân phối ựến người sử dụng chứng chỉ theo một số cơ chế bảo mật trước khi thực hiện các thao tác PKI. Người sử dụng kiểm tra hiệu lực của chứng chỉ ựược cấp với chữ ký số của CA và khoá công khai của CA.
Phần mở rộng là những thông tin về các thuộc tắnh cần thiết ựược ựưa vào ựể gắn những thuộc tắnh này với người sử dụng hay khoá công. Những thông tin trong phần mở rộng thường ựược dùng ựể quản lý xác thực phân cấp, chắnh sách chứng chỉ, thông tin về chứng chỉ bị thu hồiẦNó cũng có thể ựược sử dụng ựể ựịnh nghĩa phần mở rộng riêng chứa những thông tin ựặc trưng cho cộng ựồng nhất ựịnh. Mỗi trường mở rộng trong chứng chỉ ựược thiết kế với cờ ỘcriticalỢ hoặc ỘuncriticalỢ.
- Authority Key Indentifier: chứa ID khoá công khai của CA, ID này là duy nhất
và ựược dùng ựể kiểm tra chữ ký số trên chứng chỉ. Nó cũng ựược sử dụng ựể phân biệt giữa các cặp khoá do một CA sử dụng (trong trường hợp nếu CA có nhiều hơn một khoá công khai). Trường này ựược sử dụng cho tất cả các chứng chỉ tự ký số (CA - certificates).
- Subject Key Identifier: chứa ID khoá công khai có trong chứng chỉ và ựược sử dụng ựể phân biệt giữa các khoá nếu như có nhiều khoá ựược gắn vào trong cùng chứng chỉ của người sử dụng (Nếu chủ thể có nhiều hơn một khoá công khai).
- Key Usage: chứa một chuỗi bit ựược sử dụng ựể xác ựịnh (hoặc hạn chế) chức
năng hoặc dịch vụ ựược hỗ trợ qua việc sử dụng khoá công khai trong chứng chỉ.
- Extended Key Usage: chứa một hoặc nhiều OIDs (ựịnh danh ựối tượng Ờ Object
Identifier) ựể xác ựịnh cụ thể việc sử dụng khoá công trong chứng chỉ. Các giá trị có thể là : (1) xác thực server TLS, (2) xác thực client TLS, (3) Ký Mã, (4) bảo mật e- mail , (5) Tem thời gian.
- CRL Distribution Point: chỉ ra vị trắ của CRL tức là nơi hiện có thông tin thu
hồi chứng chỉ. Nó có thể là URI (Uniform Resource Indicator), ựịa chỉ của X.500 hoặc LDAP server.
- Private Key Usage Period: trường này cho biết thời gian sử dụng của khoá
riêng gắn với khóa công khai trong chứng chỉ.
- Certificate Policies: trường này chỉ ra dãy các chắnh sách OIDs gắn với việc cấp và sử dụng chứng chỉ.
- Policy Mappings: trường này chỉ ra chắnh sách xác thực tương ựương giữa hai miền CA. Nó ựược sử dụng trong việc thiết lập xác thực chéo và kiểm tra ựường dẫn chứng chỉ. Trường này chỉ có trong chứng chỉ CA.
- Subject Alternative Name: chỉ ra những dạng tên lựa chọn gắn với người sở
hữu chứng chỉ. Những giá trị có thể là: ựịa chỉ e-mail, ựịa chỉ IP, ựịa chỉ URIẦ - Issuer Alternative Name: chỉ ra những dạng tên lựa chọn gắn với người cấp
chứng chỉ.
- Subject Directory Attributes: trường này chỉ ra dãy các thuộc tắnh gắn với
người sở hữu chứng chỉ. Trường mở rộng này không ựược sử dụng rộng rãi. Nó ựược dùng ựể chứa những thông tin liên quan ựến ựặc quyền.
- Basic Constraints Field: trường này cho biết ựây có phải là chứng chỉ CA hay không bằng cách thiết lập giá trị logic (true). Trường này chỉ có trong chứng chỉ CA. Chứng chỉ CA dùng ựể thực hiện một số chức năng. Chứng chỉ này có thể ở một trong hai dạng. Nếu CA tạo ra chứng chỉ ựể tự sử dụng, chứng chỉ này ựược gọi là chứng chỉ CA tự ký. Khi một CA mới ựược thiết lập, CA tạo ra một chứng chỉ CA tự ký ựể ký lên chứng chỉ của người sử dụng cuối trong hệ thống. Và dạng thứ hai là CA cấp chứng chỉ cho những CA khác trong hệ thống.
- Path Length Constraint: trường này chỉ ra số ựộ dài tối ựa của ựường dẫn
chứng chỉ có thể ựược thiết lập. Giá trị ỘzeroỢ chỉ ra rằng CA chỉ có thể cấp chứng chỉ cho thực thể cuối , không cấp chứng chỉ cho những CA khác. (Trường này chỉ có trong chứng chỉ của CA).
- Name Constrainsts: ựược dùng ựể bao gồm hoặc loại trừ các nhánh trong
- Policy Constraints: ựược dùng ựể bao gồm hoặc loại trừ một số chắnh sách chứng chỉ trong khi thiết lập môi trường tin tưởng giữa các miền PKI.
Hình 2.8 là nội dung chi tiết một chứng chỉ do hệ thống MyCA cấp.
Hình 2.8: Nội dung chi tiết của chứng chỉ