网络安全
X.509 证书
别称: 数字证书, PKI 证书
定义
数字证书的标准结构,通过受信任 CA 的签名将公钥与某一身份绑定在一起。
X.509 是 ITU-T 制定的公钥证书语法标准,被广泛用于互联网上的 TLS、S/MIME、代码签名、IPsec 等场景。证书内容包括主体的可识别名、公钥、序列号、有效期、签发者、签名算法、签发者签名,以及 Subject Alternative Name、Key Usage、Extended Key Usage、Basic Constraints、CRL/AIA 分发点等扩展。依赖方会从证书向上构建一条到达受信任根的路径,逐级验证签名、有效期、名称约束和吊销状态。目前广泛使用的是 v3 版本,采用 DER 编码,通常以 PEM 格式分发。
示例
- 为 www.example.com 签发的 TLS 证书,SAN 中包含 example.com 和 api.example.com。
- 用于签名 Windows 安装包的代码签名 X.509 证书。
相关术语
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
证书颁发机构(CA)
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
数字签名
一种公钥密码学机制,用于证明消息或文档的真实性、完整性以及不可否认性。
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
自签名证书
由自身私钥对其所包含的公钥进行签名的数字证书,不涉及任何外部证书颁发机构。
扩展验证证书(EV)
在 CA 按统一规范对申请机构的法律身份、实地存在与申请权限进行严格审核后才会签发的 TLS 证书。