1. X.509
一種基於 PKI(公開金鑰) 的電信通訊標準
1. Root Certificate Authority (RCA)
最高層認證中心
2. Intermediate Certificate Authority (ICA)
中間認證中心,除了 Root 之外的認證中心
3. Server certificate
伺服器憑證,此種憑證包含伺服器資訊,主要讓使用端驗證伺服器
4. Client certificate
客戶端憑證,此種憑證包含使用者資訊,主要讓伺服器驗證使用者身分
5. CA bundle
認證中心憑證組合檔,又稱為憑證鏈結檔 (Certificates’ chain file),這個檔案中包含了根憑證與簽發路徑中所有的中繼憑證。
由於根憑證通常已經內建於作業系統或瀏覽器中,因此有些憑證中心提供的檔案是不包含根憑證的,此種檔案又被稱為中繼憑證檔 (Intermediate certificates file)
運作方式
憑證的簽發方式為金字塔型,最頂端為 RCA,通常 RCA 不會直接簽發 Server 與 Client certificate,而是簽發 Intermediate Certificate 給 ICA,再由 ICA 簽發 Server 與 Client certificate
程式在驗證憑證時,會沿著這個憑證的憑證鏈結往上找,若有找到信任的認證中心,就會認定這個憑證沒有問題! 所以由 ICA 簽發的憑證通常都會提供 CA bundle 來讓程式取得憑證鏈結
在企業內應用時,如果規模不是很大,通常會採用自簽根憑證,並直接由根憑證簽發 server 與 client,這樣就不用處理 CA bundle,讓企業內設備只信任根憑證即可
X.509 編碼方式
(1) DER
BINARY 編碼,無法透過文字編輯器觀看
(2) PEM
BASE64 編碼,以,可透過文字編輯器觀看,內容會包在 —–BEGIN CERTIFICATE—– 與 —–END CERTIFICATE—– 中間
PS: BASE64 使用的字元為 [a-zA-Z0-9] + 2 個可列印符號,符合 ASCII 規範
常見的憑證副檔名
(1) .der
DER 編碼的 X.509 憑證
(2) .pem (Privacy Enhanced Mail)
PEM 編碼的 X.509 憑證
(3) .cer, .crt
可能是 DER 編碼,也可能是 PEM 編碼的 X.509 憑證,兩者是一樣的,可以直接改副檔名互通 (.cer 是微軟習慣用的副檔名)。注意! 此兩者若是透過工具轉換,要記得編碼格式要一樣: PEM 對 PEM, DER 對 DER
(4) .p12
以 PKCS#12 格式儲存,內含 X.509 憑證與私鑰
(5) .pfx
以 PKCS#12 的上一代格式儲存,內含 X.509 憑證與私鑰
(6) .p7b, .p7c
以 PKCS#7 格式儲存,內容只有 X.509 憑證
留言列表