- Điểm mấu chốt của sơ đồ X.509 là chứng thực khóa công khai liên hệ với nhóm người dùng. Sự chứng thực của nhóm người dùng này được tạo bởi các CA tin cậy, được đặt trong thư mục bởi CA hay bởi người dùng. Bản thân thư mục máy chủ không có trách nhiệm cho việc tạo các khóa công khai hay cho hàm chứng thực nhưng nó gần như cung cấp vị trí có thể truy xuất dễ dàng cho người dùng để đưa ra sự chứng thực.
Hình 3.1. Khuôn dạng chứng chỉ X.509 phiên bản 3
Phiên bản (Version): Chỉ ra dạng phiên bản 1,2,3.
Số hiệu (Serial Number): Số hiệu nhận dạng duy nhất của chứng chỉ này. Nó được CA phát hành gán cho.
Tên thuật toán ký (Signature): Tên thuật toán ký được CA sử dụng để ký chứng chỉ. Ví dụ, các tên thuật toán khác nhau có thể được định rõ:
(a) Chữ ký số, sử dụng DSS với hàm băm SHA. (b) Chữ ký số, sử dụng RSA với hàm băm MD5. (c) Thiết lập khoá mã hoá, sử dụng truyền khoá RSA.
(d) Thiết lập khoá mã hoá, sử dụng kỹ thuật Diffie- Hellman.
Người phát hành (Issuer): Tên do CA phát hành.
Thời gian hợp lệ (Validity): Ngày/giờ có hiệu lực và hết hạn của một chứng chỉ.
Chủ thể (Subject): Tên của đối tượng nắm giữ khoá riêng (tương ứng với khoá công khai được chứng thực).
Thông tin về khoá công khai của chủ thể (Subject Public-key Information): Gồm có khoá công khai của chủ thể cùng với một tên thuật toán sử dụng khoá công khai này.
Tên duy nhất người phát hành (Issuer unique identifier): Là một chuỗi bít tuỳ chọn, được sử dụng để chỉ ra tên rõ ràng của CA phát hành, trong trường hợp cùng một tên được gán cho các thực thể khác nhau trong cùng thời gian.
Tên duy nhất của chủ thể (Subject unique identifier): Là một chuỗi bít tuỳ chọn, được sử dụng để chỉ ra tên rõ ràng của chủ thể, trong trường hợp cùng một tên được gán cho các thực thể khác nhau trong cùng thời gian.
Các trường mở rộng (extensions): trường này chỉ có ở trong phiên bản 3, được sử dụng để thêm thông tin về khoá của người phát hành và các chủ thể. Các trường mở rộng có thể được chia nhỏ thành các nhóm như sau:
(1) Thông tin về khoá và chính sách;
(2) Các thuộc tính của chủ thể và người phát hành; (3) Các ràng buộc đối với đường dẫn chứng thực;
(4) Các trường mở rộng liên quan đến danh sách các chứng chỉ bị thu hồi (các CRL).
Chữ ký của CA (signature): tên giải thuật ký, nó bao gồm mã băm của các trường được mã hoá bằng khoá bí mật của CA.
- Ký hiệu chuẩn cho định nghĩa chứng thực :
CA<<A>> = CA{V, SN, AI, CA, TAA, AP} Trong đó:
CA<<A>>: chứng thực của người dùng A được làm rõ bởi CA.
CA {V, SN, AI, TAA, Ap} = chữ ký của {V, SN, AI, TAA, Ap} bởi CA. Nó bao gồm {V, SN, AI, TAA, Ap} cùng với mã băm đã được mã hóa kèm theo.