PKIデジタル証明書システムと構造

http：// www.enkichen.com/2016/04/12/certification-and-pki/

2016年4月12日に掲示される | で分類 /集計整理知識 | | ビュー 3219

以前では、「デジタル証明書の基本」デジタル証明書とデジタル証明書の役割のいくつかの基本的な知識を紹介しますが、それは、このようなデジタル証明書の申請、デジタル証明書や他のファイル形式の知識として、デジタル証明書の管理については言及しませんでした。ここで照合し、みんなのために、関連する知識をまとめました。

公開鍵インフラストラクチャに変換するPKI（公開鍵基盤）は、公開鍵技術を使用するためのネットワークアプリケーションとして暗号化とデジタル署名やその他の暗号化サービスだけでなく、必要に応じて、鍵と証明書を管理するシステムを提供するために理解することができます。これは、セキュリティサービスインフラストラクチャのプロバイダである、PKI技術は、情報セキュリティのコア技術が、また、基本的な技術とEコマースの鍵です。

PKIは、契約でも、まとめPKIと呼ばれる基本的なサービスの目的を達成するために、セキュリティ技術のこの標準の下で開発された標準であるソフトウェア、どちらもあります。

PKI組成

PKIは、主にどのようないくつかのコンポーネントによって異なるサービスを、提供するために、いくつかの基本的なコンポーネント、異なるコンポーネントが含まれて標準です。

認証局CA（証明書発行者）：また、証明書のチャーター（認証局）の中心地として知られているCA機構、PKIは、「コア」、すなわちアプリケーションおよびデジタル証明書発行機関である、CAは、機能の権限を持っている必要があり、それが管理する責任がありますPKIの（さまざまなアプリケーションを含む）構造の下ですべてのユーザーの証明書、およびユーザーに関連付けられた情報の公開や、他のユーザー、ユーザーのオンライン本人確認、CAにも登録してブラックリストブラックリストユーザ証明書に責任がありますリリース。
X.500（証明書の保存）ディレクトリサーバ：ユーザーが自分や他人の証明書を照会し、標準のLDAPプロトコルによってブラックリストをダウンロードすることができ、ユーザーの証明書とブラックリスト情報を「公開」にX.500ディレクトリサーバ。
（HTTPSのApache用に設定されている）は、高強度の暗号化アルゴリズム（SSL）でセキュリティWWWサーバ：もともとNetscapeのエンタープライズ開発によって開発されたセキュア・ソケット・レイヤー（SSL）プロトコルは、ネットワークとなっているサイトやWebブラウジングの身元を識別するために使用される、などでユーザーのブラウザとウェブサーバ間の標準暗号化通信のグローバル化。
ウェブ（通信プラットフォームを固定）：Web端末は、WebクライアントとWebサーバーは、2つの端部であるているが、完全性、高い強度を有するSSLプロトコルデータ暗号アルゴリズムを介してクライアントの機密性とサーバを確実にするために、クライアントとサーバ側にインストールされています認証。
セキュアなアプリケーションの開発以来：セキュアなアプリケーションの開発から、このような銀行、証券、および他のアプリケーションなど、特定のアプリケーション、各種の開発以来、業界を指します。

CA機関

また、証明書のチャーター（認証局）の中心地として知られているCA機関は、電子商取引は、公開鍵方式で公衆の閲覧の正当性を前提とし、信頼できるサードパーティとして、発行し、デジタル証明書を管理するための責任者であります責任。CAセンターは、公開鍵を配布し、その正当性を証明達成するために、公開鍵を使用して、各ユーザーのためのデジタル証明書を発行しました。デジタル証明書は、公開鍵の所有者と合法的な所有証明書に記載されている公開鍵証明する認証局の数字が署名し、ユーザーの役割が証明書に記載されているの公開鍵に関する情報を含むファイルです。CAのデジタル署名メカニズムは、攻撃者が偽造し、証明書を改ざんすることはできないことができます。SET取引では、CAは、適格預託銀行にカード所有者、商人、だけでなく、証明書を発行、ゲートウェイ用の証明書を発行します。これは、オンライン取引に関わるすべての人々のために必要なデジタル証明書の作成、配布および管理のための責任があり、そのため、安全な電子取引の中核です。CA認証センターは、PKIのコア部分として、CA PKIは、いくつかの非常に重要な機能を実現します：

エンドユーザアプリケーションを検証するデジタル証明書を受け取ります
承認の証明書 - エンドユーザのデジタル証明書を受け入れるかどうか決定するためにアプリケーション
証明書を発行した - 申請者に発行され、デジタル証明書を発行することを拒否
受信、エンドユーザーのデジタル証明書の更新要求処理 - 証明書を更新します
取り消されたクエリエンドユーザーのデジタル証明書を受け取ります
証明書失効リスト（CRL）を生成し、公開
デジタル証明書のアーカイブ
キーのアーカイブ
過去のデータアーカイブ

X.509標準

X.509は非常に一般的な証明書形式です。すべての証明書は、ITU-T X.509国際規格に沿ったものであり、したがって、（理論的に）証明書のためのアプリケーションを作成するために、X.509規格に沿った他のアプリケーションのために使用することができます。証明書には、公開鍵とその所有者は、名前が同じであることを証明しなければなりません。X.509証明書の場合、認証は常にCAまたはCAの人々によって指定され、標準のX.509証明書は、フィールドのコレクションで、これらのフィールドは、ユーザーまたはデバイスとそれらに対応する公開鍵に関する情報が含まれています。X.509標準の証明書に含まれるべき情報を定義し、この情報を（すなわち、データフォーマット）符号化されている方法を説明し、すべてのX.509証明書は、次のデータを含みます。

バージョン：状態そのX.509規格（バージョン1、バージョン2またはバージョン3）、現在のバージョン3の証明書のバージョン番号に影響を与える特定の情報のバージョンを使用して証明書
：シリアル番号 一意識別子によって配布証明書が発行した証明書のこの証明書の固有の整数識別子であります
署名アルゴリズム識別子： 署名された証明書を識別するのに使用されるアルゴリズム、オブジェクト識別子によって関連するパラメータに加えは、使用されるこの証明書、デジタル署名アルゴリズムの説明のために使用されます。例えば、SHA-1およびRSAデジタル署名にオブジェクト識別子は、RSA暗号化SHA-1ハッシュヘテロアリールの使用を示すために使用されます
デジタル署名認証機関：これは、証明書はターンエッセイ後に発行されていないことを確認するために、署名を生成するために発行者の秘密鍵を使用して行われます
CB： 証明書発行者の識別名（DN）は、CAのX.500名の証明書を発行する唯一のエンティティです。この証明書を使用すると、信頼のエンティティによって発行された証明書を意味します。（注：このようルートまたはトップレベルのCAの証明書などのいくつかの例では、出版社が独自の証明書を発行しました）
有効： 証明書開始日時と終了日時、証明書に指定が有効で2時間です
テーマ情報：証明書所有者のユニークな識別子（またはDN-識別名）は、インターネット上の名前は一意である必要があります
公開情報： 識別子およびその他の関連する主要パラメータ（鍵暗号ことを示すために属している）証明書所有者の公開鍵アルゴリズムを含みます
発行者固有の識別子：識別子-証明書の一意の識別子は、唯一のバージョン2とバージョン3であっ必要とされ、オプションになります

X.509証明書拡張

任意の標準および独自の拡張（のみバージョン2及び3で使用される）、拡張要素の一部は、このような構造を有します。

       　　拡張:: = SEQUENCE { 
     
       　　extnIDオブジェクト識別子、 
     
       　　重要なBOOLEAN DEFAULTのFALSE、 
     
       　　extnValue OCTET STRING} 
     
       　　extnID：OIDは拡張要素を表し、 
     
       　　重要：これは非常に重要な要素の拡張子を表しているかどうか 
     
       　　extnValue：文字列型、この拡張要素の値を示しています。

拡張が含まれます：

発行者キー識別子：証明書は、同じ証明書の鍵のペアの所有者を区別するために使用されるキーの一意の識別子が含まれています。
主な使用方法：証明書の署名、データ暗号化：ビット列は、（定義された）指定された公開鍵のような熟練した証明書の機能やサービスを、することができます。証明書は、「KeyCertSignが」を「非常に重要」とのセットとしてラベルに延びているのKeyUsage場合、証明書はSSL通信中に提示されたときに、証明書の拡張子が関連付けられている秘密鍵が唯一の書かれた証明書に署名するために使用されるべきであることを示しているので、それは、拒否されます、それは、SSLを使用すべきではありません。
CRL配布ポイント： CRL配布の場所を指定します
秘密鍵の使用：公開鍵の使用に関連した証明書の秘密キーの長さを指定し、それはまた、組成物の後の前にいないされていません。これが存在しない場合は、公開鍵と秘密鍵を使用することは同じです。
証明書ポリシー：オブジェクト識別子と修飾子、これらのオブジェクト識別子は、関連する証明書によって発行されたポリシーや手順を使用。
ポリシーマッピング： 2つのCAドメイン間の同値関係の1つまたは複数のポリシーオブジェクト識別子のみがCA証明書に存在することを示しています
サブジェクト代替名：電子メールアドレス、IPアドレス等、およびDNの別名として別名証明書保有者、ポイントが一緒にバインドされています。
発行者別名：尖った別名証明書発行者は、そのような電子メールアドレス、IPアドレス等が、DN発行者としては、証明書フィールドの発行者に表示される必要があります。
対象ディレクトリの属性：ポイント属性証明書の所有者のシリーズから。あなたは、アクセス制御情報を渡すために、このいずれかを使用することができます。

Baiduはデジタル証明書をSSLで：

デジタル証明書のフォーマット

デジタル証明書や関連暗号化されたデータファイルのシリーズに具現。一般的な形式は次のとおりです。

PKI ITU-T X509規格に沿って、伝統的な標準（.DER .PEM .CER .CRT）
PKCS＃7暗号メッセージ構文標準（.P7B .P7C .spcファイル.P7R）に沿って
標準PKCS＃10証明書要求（.p10）に沿って
符合PKCS#12 个人信息交换标准（.pfx *.p12）

当然，这只是常用的几种标准，其中，X509证书还分两种编码形式：

X.509 DER(Distinguished Encoding Rules)编码，后缀为：.DER .CER .CRT
X.509 BASE64编码，后缀为：.PEM .CER .CRT

X509是数字证书的基本规范，而P7和P12则是两个实现规范，P7用于数字信封，P12则是带有私钥的证书实现规范。采用的标准不同，生成的数字证书，包含内容也可能不同。下面就证书包含/可能包含的内容做个汇总，一般证书特性有：

存储格式：二进制还是ASCII
是否包含公钥、私钥
包含一个还是多个证书
是否支持密码保护（针对当前证书）

其中：

DER、CER、CRT以二进制形式存放证书，只有公钥，不包含私钥
CSR证书请求
PEM以Base64编码形式存放证书，以”—–BEGIN CERTIFICATE—–” 和 “—–END CERTIFICATE—–”封装，只有公钥
PFX、P12也是以二进制形式存放证书，包含公钥、私钥，包含保护密码。PFX和P12存储格式完全相同只是扩展名不同
P10证书请求
P7R是CA对证书请求回复，一般做数字信封
P7B/P7C证书链，可包含一个或多个证书

理解关键点：凡是包含私钥的，一律必须添加密码保护（加密私钥），因为按照习惯，公钥是可以公开的，私钥必须保护，所以明码证书以及未加保护的证书都不可能包含私钥，只有公钥，不用加密。

上文描述中，DER均表示证书且有签名，实际使用中，还有DER编码的私钥不用签名，实际上只是个“中间件”。另外：证书请求一般采用CSR扩展名，但是其格式有可能是PEM也可能是DER格式，但都代表证书请求，只有经过CA签发后才能得到真正的证书。

参考资料

デジタル証明書の基本
 X.509標準
 X.509デジタル証明書の構造はじめに
 デジタル証明書とCAが紹介識字
 opensslコマンドを、PKI、CA、SSL証明書の原則

著者： エンキ
このリンク： http://enkichen.com/2016/04/12/certification-and-pki/
免責事項： 特に指定のない限り、このブログの記事で、使用されている CC BY-NC-SA 3.0 のライセンスを。ソースを示してください！

デジタル証明書の構造を有する[再印刷] PKIシステム