数字证书的基本结构与编码教学学习教案.pptx

《数字证书的基本结构与编码教学学习教案.pptx》由会员分享，可在线阅读，更多相关《数字证书的基本结构与编码教学学习教案.pptx（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、数字证书的基本结构与编码数字证书的基本结构与编码(bin m)教学教学第一页，共22页。主要(zhyo)内容uu 数字证书的基本结构数字证书的基本结构uu 数字证书的描述方法数字证书的描述方法(fngf)(fngf)uu 数字证书的编码数字证书的编码uuX.509X.509数字证书结构数字证书结构uuX.509X.509数字证书详细描述数字证书详细描述uuX.509X.509数字证书实例数字证书实例第1页/共21页第二页，共22页。数字证书的基本(jbn)结构一张数字证书由证书内容一张数字证书由证书内容(nirng)(nirng)、签名算法和签名结果组成、签名算法和签名结果组成证书内容签名算法

2、签名结果证书(zhngsh)的基本结构第2页/共21页第三页，共22页。数字证书的基本(jbn)结构证书实例证书实例证书实例证书实例(shl)(shl)：在：在：在：在InternetInternet选项选项选项选项-内内内内容容容容第3页/共21页第四页，共22页。数字证书的基本(jbn)结构证书内容证书内容证书内容证书内容(nirng)(nirng)包括：包括：包括：包括：版本号版本号 证书主体证书主体 主体公钥内容主体公钥内容 签发签发(qinf)(qinf)者者 序列号序列号 有效期有效期 扩展项扩展项第4页/共21页第五页，共22页。数字证书的基本(jbn)结构 版本号版本号版本号版

3、本号 数字证书有自己的格式，而这个格式可能会不断改进。为了让所有应用系统正确地识别证书内容，需考虑向前和向数字证书有自己的格式，而这个格式可能会不断改进。为了让所有应用系统正确地识别证书内容，需考虑向前和向数字证书有自己的格式，而这个格式可能会不断改进。为了让所有应用系统正确地识别证书内容，需考虑向前和向数字证书有自己的格式，而这个格式可能会不断改进。为了让所有应用系统正确地识别证书内容，需考虑向前和向后兼容后兼容后兼容后兼容(jin rn)(jin rn)。因此，在证书中标明自己的格式版本有利于应用程序根据不同的格式定义来正确阅读不同的证书。因此，在证书中标明自己的格式版本有利于应用程序根据

4、不同的格式定义来正确阅读不同的证书。因此，在证书中标明自己的格式版本有利于应用程序根据不同的格式定义来正确阅读不同的证书。因此，在证书中标明自己的格式版本有利于应用程序根据不同的格式定义来正确阅读不同的证书。证书主体证书主体证书主体证书主体 1 1）证书的持有者（订户）证书的持有者（订户）证书的持有者（订户）证书的持有者（订户）2 2）不仅具有证书的使用权，而且具有证书的所有权）不仅具有证书的使用权，而且具有证书的所有权）不仅具有证书的使用权，而且具有证书的所有权）不仅具有证书的使用权，而且具有证书的所有权 3 3）不仅可以把证书复制或传递给别人，更重要的是，证书主体拥有证书中的身份、公钥和对

5、应的私钥）不仅可以把证书复制或传递给别人，更重要的是，证书主体拥有证书中的身份、公钥和对应的私钥）不仅可以把证书复制或传递给别人，更重要的是，证书主体拥有证书中的身份、公钥和对应的私钥）不仅可以把证书复制或传递给别人，更重要的是，证书主体拥有证书中的身份、公钥和对应的私钥 主体公钥内容主体公钥内容主体公钥内容主体公钥内容 1 1）PKIPKI是算法无关的，实际中可以使用多种算法是算法无关的，实际中可以使用多种算法是算法无关的，实际中可以使用多种算法是算法无关的，实际中可以使用多种算法 2 2）公钥信息中首先需要指明所用的公钥算法，随后才是公钥信息本身）公钥信息中首先需要指明所用的公钥算法，随后

6、才是公钥信息本身）公钥信息中首先需要指明所用的公钥算法，随后才是公钥信息本身）公钥信息中首先需要指明所用的公钥算法，随后才是公钥信息本身 签发者签发者签发者签发者 证书管理机构证书管理机构证书管理机构证书管理机构-CA-CA 注：注：注：注：CACA是是是是PKIPKI系统中通信双方都信任的实体，被称为可信第三方（系统中通信双方都信任的实体，被称为可信第三方（系统中通信双方都信任的实体，被称为可信第三方（系统中通信双方都信任的实体，被称为可信第三方（Trusted Third PartyTrusted Third Party，简称，简称，简称，简称TTPTTP）第5页/共21页第六页，共22页

7、。数字证书的基本(jbn)结构 序列号序列号序列号序列号 1 1）证书编号）证书编号）证书编号）证书编号 2 2）如果）如果）如果）如果(rgu)(rgu)签发者命名能满足唯一性要求的话，用签发者命名能满足唯一性要求的话，用签发者命名能满足唯一性要求的话，用签发者命名能满足唯一性要求的话，用“签发者签发者签发者签发者”和和和和“序列号序列号序列号序列号”就可以唯一的标识就可以唯一的标识就可以唯一的标识就可以唯一的标识任何一张数字证书任何一张数字证书任何一张数字证书任何一张数字证书 有效期有效期有效期有效期 1 1）持有数字证书也就享有了证书签发结构通过证书提供的安全服务，其中还包含着责任和一些

8、法律义）持有数字证书也就享有了证书签发结构通过证书提供的安全服务，其中还包含着责任和一些法律义）持有数字证书也就享有了证书签发结构通过证书提供的安全服务，其中还包含着责任和一些法律义）持有数字证书也就享有了证书签发结构通过证书提供的安全服务，其中还包含着责任和一些法律义务务务务 2 2）订户享受的服务是有时效性的，因此，数字证书应具有一个有效期。）订户享受的服务是有时效性的，因此，数字证书应具有一个有效期。）订户享受的服务是有时效性的，因此，数字证书应具有一个有效期。）订户享受的服务是有时效性的，因此，数字证书应具有一个有效期。3 3）长期使用同一密钥是不安全的，而且证书持有者的信息经过一段时

9、间可能会改变，所以需要为证书）长期使用同一密钥是不安全的，而且证书持有者的信息经过一段时间可能会改变，所以需要为证书）长期使用同一密钥是不安全的，而且证书持有者的信息经过一段时间可能会改变，所以需要为证书）长期使用同一密钥是不安全的，而且证书持有者的信息经过一段时间可能会改变，所以需要为证书设置一个包含起、止时间的设置一个包含起、止时间的设置一个包含起、止时间的设置一个包含起、止时间的“有效期有效期有效期有效期”。4 4）本质上是）本质上是）本质上是）本质上是CACA负责维护证书状态的时间范围，在此时间内负责维护证书状态的时间范围，在此时间内负责维护证书状态的时间范围，在此时间内负责维护证书状

10、态的时间范围，在此时间内CACA担保证书持有者和公钥绑定关系的正确担保证书持有者和公钥绑定关系的正确担保证书持有者和公钥绑定关系的正确担保证书持有者和公钥绑定关系的正确性性性性 扩展项扩展项扩展项扩展项 提供为用户或者公开密钥和证书管理等级制度相结合的附加属性的方法提供为用户或者公开密钥和证书管理等级制度相结合的附加属性的方法提供为用户或者公开密钥和证书管理等级制度相结合的附加属性的方法提供为用户或者公开密钥和证书管理等级制度相结合的附加属性的方法第6页/共21页第七页，共22页。数字证书的描述(miosh)方法 证书的描述需要使用精确的语言将内容准确的、无二义的表达出来，以便证书的描述需要使

11、用精确的语言将内容准确的、无二义的表达出来，以便证书的描述需要使用精确的语言将内容准确的、无二义的表达出来，以便证书的描述需要使用精确的语言将内容准确的、无二义的表达出来，以便PKIPKI系统中的各个组件都能正系统中的各个组件都能正系统中的各个组件都能正系统中的各个组件都能正确的处理证书，各种应用系统也能正确的从证书中获取公钥和持有者的信息。确的处理证书，各种应用系统也能正确的从证书中获取公钥和持有者的信息。确的处理证书，各种应用系统也能正确的从证书中获取公钥和持有者的信息。确的处理证书，各种应用系统也能正确的从证书中获取公钥和持有者的信息。基本要求基本要求基本要求基本要求 1 1）简明的）简

12、明的）简明的）简明的 2 2）无歧义）无歧义）无歧义）无歧义 自然语言和程序设计语言无法满足要求自然语言和程序设计语言无法满足要求自然语言和程序设计语言无法满足要求自然语言和程序设计语言无法满足要求 1 1）自然语言）自然语言）自然语言）自然语言 a.a.多种语言多种语言多种语言多种语言 b.b.同语种中一词多义和一义多词同语种中一词多义和一义多词同语种中一词多义和一义多词同语种中一词多义和一义多词 2 2）程序设计语言）程序设计语言）程序设计语言）程序设计语言 a.a.有较严格的语法和较清晰的数据结构表达方式有较严格的语法和较清晰的数据结构表达方式有较严格的语法和较清晰的数据结构表达方式有较

13、严格的语法和较清晰的数据结构表达方式 b.b.但由于但由于但由于但由于(yuy)(yuy)平台相关的编译器不同，同一数据类型在不同系统中的实现就可能有差异。程序语言平台相关的编译器不同，同一数据类型在不同系统中的实现就可能有差异。程序语言平台相关的编译器不同，同一数据类型在不同系统中的实现就可能有差异。程序语言平台相关的编译器不同，同一数据类型在不同系统中的实现就可能有差异。程序语言在内容的顺序上也没有严格规定。在内容的顺序上也没有严格规定。在内容的顺序上也没有严格规定。在内容的顺序上也没有严格规定。ASN.1 ASN.1（Abstract Syntax Notation oneAbstrac

14、t Syntax Notation one）抽象语法表示法可以满足要求）抽象语法表示法可以满足要求）抽象语法表示法可以满足要求）抽象语法表示法可以满足要求 ASN.1 ASN.1 语法纪法标准是一种既简单，又没有歧义的内容描述语言。语法纪法标准是一种既简单，又没有歧义的内容描述语言。语法纪法标准是一种既简单，又没有歧义的内容描述语言。语法纪法标准是一种既简单，又没有歧义的内容描述语言。第7页/共21页第八页，共22页。数字证书的描述(miosh)方法 ASN.1 ASN.1语法记法标准语法记法标准语法记法标准语法记法标准 1 1）Abstract Syntax Notation one Abs

15、tract Syntax Notation one 抽象语法表示法抽象语法表示法抽象语法表示法抽象语法表示法 2 2）是描述数据的表示、编码、传输、解码的灵活的记法。它提供了一套正式、无歧义和精确的规则以描述独立于）是描述数据的表示、编码、传输、解码的灵活的记法。它提供了一套正式、无歧义和精确的规则以描述独立于）是描述数据的表示、编码、传输、解码的灵活的记法。它提供了一套正式、无歧义和精确的规则以描述独立于）是描述数据的表示、编码、传输、解码的灵活的记法。它提供了一套正式、无歧义和精确的规则以描述独立于特定计算机硬件的对象结构。特定计算机硬件的对象结构。特定计算机硬件的对象结构。特定计算机硬件

16、的对象结构。3 3）ASN.1ASN.1是是是是ISOISO和和和和ITU-TITU-T的联合标准，最初是的联合标准，最初是的联合标准，最初是的联合标准，最初是19841984年的年的年的年的CCITT X.409:1984CCITT X.409:1984的一部分。由于其广泛应用，的一部分。由于其广泛应用，的一部分。由于其广泛应用，的一部分。由于其广泛应用，19881988年年年年ASN.1ASN.1移到独立标准移到独立标准移到独立标准移到独立标准X.208X.208，19951995年进行全面修订后变成年进行全面修订后变成年进行全面修订后变成年进行全面修订后变成X.680X.680系列标准。

17、系列标准。系列标准。系列标准。4 4）ASN.1ASN.1本身只定义了表示信息的抽象句法，但是没有本身只定义了表示信息的抽象句法，但是没有本身只定义了表示信息的抽象句法，但是没有本身只定义了表示信息的抽象句法，但是没有(mi yu)(mi yu)限定其编码的方法。限定其编码的方法。限定其编码的方法。限定其编码的方法。ASN.1 ASN.1 首先定义一定数量的首先定义一定数量的首先定义一定数量的首先定义一定数量的“简单类型简单类型简单类型简单类型”，然后通过构造出各种较复杂的，然后通过构造出各种较复杂的，然后通过构造出各种较复杂的，然后通过构造出各种较复杂的“构造类型构造类型构造类型构造类型”1

18、 1）简单类型）简单类型）简单类型）简单类型 2 2）构造类型）构造类型）构造类型）构造类型 3 3）其它关键字）其它关键字）其它关键字）其它关键字第8页/共21页第九页，共22页。数字证书的描述(miosh)方法 简单简单简单简单(jindn)(jindn)类型类型类型类型BITSTRING比特串（O和1组成）BOOLEAN布尔型（取TRUE或FALSE）INTEGER整数NULL空值OBJECT IDENTIFIER对象标识符OCTET STRING字节串PrintableString可打印字符串UTCTime“协调世界时”（UTC）GeneralizedTime通用时间第9页/共21页第

19、十页，共22页。数字证书的描述(miosh)方法 构造类型构造类型构造类型构造类型SEQUENCE表示1个或多个字段组成的有序序列SEQUENCEOF表示0个或多个特定类型字段的有序序列SET表示1个或多个字段组成的无序集合SETOF表示0个或多个特定类型字段的无序集合 其它其它其它其它(qt)(qt)关键字关键字关键字关键字CHOICEANYOPTIONALDEFAULT第10页/共21页第十一页，共22页。数字证书的编码(binm)利用利用ASN.1ASN.1可以准确地定义证书应该包含的内容。即可以准确地定义证书应该包含的内容。即ASN.1ASN.1可以定义证书应该包含的内容的准确类型。可

20、以定义证书应该包含的内容的准确类型。无二义性的内容类型的实际取值无二义性的内容类型的实际取值可以说可以说ASN.1ASN.1解决的是高层设计者之间的交流问题，编码方法要解决的是机器间的交流问题。解决的是高层设计者之间的交流问题，编码方法要解决的是机器间的交流问题。编码的作用就是将各种用编码的作用就是将各种用ASN.1ASN.1定义的数据类型的值对应到比特流，以便在不同通信实体之间传递，而且使得各通信实体定义的数据类型的值对应到比特流，以便在不同通信实体之间传递，而且使得各通信实体对于所传递的信息理解没有歧义。对于所传递的信息理解没有歧义。11）“TLV”“TLV”方式方式可以完整表示特定类型的

21、数据可以完整表示特定类型的数据22）类型）类型typetype、长度、长度lengthlength和值和值valuevalue33）解码时，首先识别数据的类型，即可选定处理的方法；然后得到数据的长度，即可进行处理的准备工作；最后）解码时，首先识别数据的类型，即可选定处理的方法；然后得到数据的长度，即可进行处理的准备工作；最后(zuhu)(zuhu)就可以正确的得到数据本身的值。就可以正确的得到数据本身的值。第11页/共21页第十二页，共22页。数字证书的编码(binm)简单类型简单类型简单类型简单类型(lixng)(lixng)的编码的编码的编码的编码BOOLEAN布尔型的数据，只有两种可能的

22、取值“TRUE”(0 xFF)和“FALSE”（0 x00）INTEGER整数类型BITSTRINGOCTETSTRING字符码串NULL一个特殊的值，表示“无”或“空”OBJECT IDENTIFIER对象标识符 OIDPrintableString任意长度的ASCII字符串UTCTime协调世界时GeneralizedTime类似UTCTime第12页/共21页第十三页，共22页。数字证书的编码(binm)构造类型及其他构造类型及其他构造类型及其他构造类型及其他SEQUENCE表示1个或多个字段组成的有序序列SEQUENCEOF表示0个或多个特定类型字段的有序序列SET表示1个或多个字段组

23、成的无序集合SETOF表示0个或多个特定类型字段的无序集合CHOICEOPTIONALANYDEFAULT第13页/共21页第十四页，共22页。X.509数字证书结构(jigu)X.509X.509数字证书结构的基本部分数字证书结构的基本部分 版本号版本号标识证书的版本标识证书的版本 序列号序列号标识证书的唯一整数，由证书颁发者分配的本证书的唯一标标识证书的唯一整数，由证书颁发者分配的本证书的唯一标识符。识符。签名签名用于签证书的算法标识，由对象标识符加上相关的参数组成，用于签证书的算法标识，由对象标识符加上相关的参数组成，用于说明本证书所用的数字签名算法。例如，用于说明本证书所用的数字签名算

24、法。例如，SHA-1SHA-1和和RSARSA的对的对象标识符就用来说明该数字签名是利用象标识符就用来说明该数字签名是利用RSARSA对对SHA-1SHA-1杂凑加密。杂凑加密。颁发者颁发者证书颁发者的可识别名（证书颁发者的可识别名（DNDN）。）。有效期有效期证书有效期的时间段。本字证书有效期的时间段。本字(bnz)(bnz)段由段由”NotBefore”NotBefore”和和”NotAfter”NotAfter”两项组成，它们分别由两项组成，它们分别由UTCUTC时间或一般的时间表示时间或一般的时间表示（在（在RFC2459RFC2459中有详细的时间表示规则）。中有详细的时间表示规则）

25、。主体主体证书拥有者的可识别名，这个字段必须是非空的，除非你在证书拥有者的可识别名，这个字段必须是非空的，除非你在证书扩展中有别名。证书扩展中有别名。主体公钥信息主体公钥信息主体的公钥（以及算法标识符）。主体的公钥（以及算法标识符）。颁发者唯一标识符颁发者唯一标识符标识符标识符证书颁发者的唯一标识符证书颁发者的唯一标识符 主体唯一标识符主体唯一标识符证书拥有者的唯一标识符证书拥有者的唯一标识符第14页/共21页第十五页，共22页。X.509数字证书结构(jigu)X.509X.509数字证书结构的扩展部分数字证书结构的扩展部分 发行者密钥标识符发行者密钥标识符证书所含密钥的唯一标识符，用来区分

26、同一证书拥有者的多对密钥。证书所含密钥的唯一标识符，用来区分同一证书拥有者的多对密钥。密钥使用密钥使用一个比特串，指明（限定）证书的公钥可以完成一个比特串，指明（限定）证书的公钥可以完成(wnchng)(wnchng)的功能或服务，的功能或服务，如：证书签名、数据加密等。如果某一证书将如：证书签名、数据加密等。如果某一证书将KeyUsageKeyUsage扩展标记为扩展标记为“极重要极重要”，而且设置为，而且设置为“keyCertSign”“keyCertSign”，则在，则在SSLSSL通信期间该证书出现时将被拒绝，通信期间该证书出现时将被拒绝，因为该证书扩展表示相关私钥应只用于签写证书，而

27、不应该用于因为该证书扩展表示相关私钥应只用于签写证书，而不应该用于SSLSSL。CRLCRL分布点分布点指明指明CRLCRL的分布地点的分布地点 私钥的使用期私钥的使用期指明证书中与公钥相联系的私钥的使用期限，它也有指明证书中与公钥相联系的私钥的使用期限，它也有NotBeforeNotBefore和和NotAfterNotAfter组成。若此项不存在时，公私钥的使用期是一样的组成。若此项不存在时，公私钥的使用期是一样的 证书策略证书策略由对象标识符和限定符组成，这些对象标识符说明证书的颁发和使用策略有由对象标识符和限定符组成，这些对象标识符说明证书的颁发和使用策略有关关 策略映射策略映射表明两

28、个表明两个CACA域之间的一个或多个策略对象标识符的等价关系，仅在域之间的一个或多个策略对象标识符的等价关系，仅在CACA证书证书里存在里存在 主体别名主体别名指出证书拥有者的别名，如电子邮件地址、指出证书拥有者的别名，如电子邮件地址、IPIP地址等，别名是和地址等，别名是和DNDN绑定在绑定在一起的一起的 颁发者别名颁发者别名指出证书颁发者的别名，如电子邮件地址、指出证书颁发者的别名，如电子邮件地址、IPIP地址等，但颁发者的地址等，但颁发者的DNDN必须必须出现在证书的颁发者字段出现在证书的颁发者字段 主体目录属性主体目录属性指出证书拥有者的一系列属性。可以使用这一项来传递访问控制信息。指

29、出证书拥有者的一系列属性。可以使用这一项来传递访问控制信息。第15页/共21页第十六页，共22页。X.509证书(zhngsh)详细描述Certificate:=SEQUENCE Certificate:=SEQUENCE tbsCertificatetbsCertificateTBSCertificate,TBSCertificate,signatureAlgorithmsignatureAlgorithmAlgorithmIdentifier,AlgorithmIdentifier,signatureValue BIT STRING signatureValue BIT STRING TB

30、SCertificate:=SEQUENCETBSCertificate:=SEQUENCEversion 0EXPLICIT Version DEFAULT v1,version 0EXPLICIT Version DEFAULT v1,serialNumber CertificateSerialNumber,serialNumber CertificateSerialNumber,signature AlgorithmIdentifier,signature AlgorithmIdentifier,issuer Name,issuer Name,validity Validity,vali

31、dity Validity,subject Name,subject Name,subjectPublicKeyInfo SubjectPublicKeyInfo,subjectPublicKeyInfo SubjectPublicKeyInfo,issuerUniqueID1IMPLICIT UniqueIdentifier issuerUniqueID1IMPLICIT UniqueIdentifier OPTIONAL,OPTIONAL,subjectUniqueID 2IMPLICIT UniqueIdentifier OPTIONAL,subjectUniqueID 2IMPLICI

32、T UniqueIdentifier OPTIONAL,extensions 3EXPLICIT Extensions OPTIONALextensions 3EXPLICIT Extensions OPTIONALVersion:=INTEGERv1(0),v2(1),v3(2)Version:=INTEGERv1(0),v2(1),v3(2)CertificateSerialNumber:=INTEGERCertificateSerialNumber:=INTEGERAlgorithmIdentifier:=SEQUENCEAlgorithmIdentifier:=SEQUENCEalgo

33、rithm OBJECT IDENTIFIER,algorithm OBJECT IDENTIFIER,parameters ANY DEFINED BY algorithm OPTIONALparameters ANY DEFINED BY algorithm OPTIONAL证书全部内容开始，结构化不定证书全部内容开始，结构化不定(bdng)(bdng)长编长编码码 证书主体证书主体证书签名算法标识证书签名算法标识证书签名值（注证书签名值（注11）证书版本号证书版本号证书序列号（注证书序列号（注22）证书签名算法标识证书签名算法标识证书发行者名称证书发行者名称证书有效期证书有效期证书主体名

34、称证书主体名称证书公钥证书公钥证书发行者证书发行者ID(ID(可选可选)，只在证书版本，只在证书版本22、33中才中才有有证书主体证书主体ID(ID(可选可选)，只在证书版本，只在证书版本22、33中才有中才有证书扩展段（可选），只在证书版本证书扩展段（可选），只在证书版本33中才有中才有注注11：证书签名值：证书签名值,是使用是使用(shyng)signatureAlgorithm(shyng)signatureAlgorithm部分指定的签名算法对部分指定的签名算法对tbsCertificatetbsCertificate证书主题部分签名后的值证书主题部分签名后的值注注22：证书序列号，对

35、同一：证书序列号，对同一CACA所颁发的证书，序列号唯一标识证书所颁发的证书，序列号唯一标识证书第16页/共21页第十七页，共22页。X.509证书(zhngsh)详细描述Parameters:Parameters:Dss-Parms:=SEQUENCEDss-Parms:=SEQUENCEpINTEGER,pINTEGER,qINTEGER,qINTEGER,gINTEGERgINTEGERSignatureValue:SignatureValue:Dss-Sig-Value:=SEQUENCEDss-Sig-Value:=SEQUENCErINTEGER,rINTEGER,sINTEGER

36、sINTEGERName:=CHOICEName:=CHOICERDNSequenceRDNSequenceRDNSequence:=SEQUENCEOFRelativeDistinguishedNameRDNSequence:=SEQUENCEOFRelativeDistinguishedNameRelativeDistinguishedName:=SETOFAttributeTypeAndValueRelativeDistinguishedName:=SETOFAttributeTypeAndValueAttributeTypeAndValue:=SEQUENCEAttributeType

37、AndValue:=SEQUENCEtypeAttributeType,typeAttributeType,valueAttributeValuevalueAttributeValueAttributeType:=OBJECTIDENTIFIERAttributeType:=OBJECTIDENTIFIERAttributeValue:=ANYDEFINEDBYAttributeTypeAttributeValue:=ANYDEFINEDBYAttributeTypeparameters parameters，DSA(DSS)DSA(DSS)算法时的算法时的parameters,RSApara

38、meters,RSA算法没有算法没有(mi yu)(mi yu)此参数此参数sha1DSAsha1DSA签名算法时签名算法时,签名值签名值第17页/共21页第十八页，共22页。X.509证书(zhngsh)详细描述Validity:=SEQUENCE Validity:=SEQUENCE notBefore Time,notBefore Time,notAfter TimenotAfter TimeTime:=CHOICE Time:=CHOICE utcTime UTCTime,utcTime UTCTime,generalTime GeneralizedTime generalTime G

39、eneralizedTime UniqueIdentifier:=BIT STRINGUniqueIdentifier:=BIT STRINGSubjectPublicKeyInfo:=SEQUENCESubjectPublicKeyInfo:=SEQUENCE algorithm AlgorithmIdentifier,algorithm AlgorithmIdentifier,subjectPublicKey BIT STRING subjectPublicKey BIT STRINGSubjectPublicKey:SubjectPublicKey:SubjectPublicKey:Su

40、bjectPublicKey:RSAPublicKey:=SEQUENCE RSAPublicKey:=SEQUENCE modulus INTEGER,-nmodulus INTEGER,-npublicExponent INTEGER-e-publicExponent INTEGER-e-Extensions:=SEQUENCE SIZE(1.MAX)OF ExtensionExtensions:=SEQUENCE SIZE(1.MAX)OF ExtensionExtension:=SEQUENCEExtension:=SEQUENCEextnID OBJECT IDENTIFIER,ex

41、tnID OBJECT IDENTIFIER,critical BOOLEAN DEFAULT FALSE,critical BOOLEAN DEFAULT FALSE,extnValue OCTET STRING extnValue OCTET STRING证书有效期起始时间证书有效期起始时间(shjin)(shjin)证书有效期终止时间证书有效期终止时间(shjin)(shjin)公钥算法公钥算法公钥值公钥值第18页/共21页第十九页，共22页。X.509数字证书实例(shl)第19页/共21页第二十页，共22页。第20页/共21页第二十一页，共22页。感谢您的观看感谢您的观看(gunkn)。第21页/共21页第二十二页，共22页。