pki技术理论及实现_pki技术_pki技术的原理与应用(4)

·证书序列号（SerialNumber）：序列号指定由CA分配给证书的唯一的数字型标识符。当证书被取消时，实际上是将此证书的序列号放入由CA签发的CRL中，这也是序列号唯一的原因。

·签名算法标识符（Signature）：签名算法标识用来指定由CA签发证书时所使用的签名算法。算法标识符用来指定CA签发证书时所使用的公开密钥算法和hash算法，须向国际知名标准组织（如ISO）注册。

·签发机构名（Issuer）：此域用来标识签发证书的CA的X.500DN名字。包括国家、省市、地区、组织机构、单位部门和通用名。

·有效期（Validity）：指定证书的有效期，包括证书开始生效的日期和时间以及失效的日期和时间。每次使用证书时，需要检查证书是否在有效期内。

·证书用户名（Subject）：指定证书持有者的X.500唯一名字。包括国家、省市、地区、组织机构、单位部门和通用名，还可包含email地址等个人信息等

·证书持有者公开密钥信息（subjectPublicKeyInfo）：证书持有者公开密钥信息域包含两个重要信息：证书持有者的公开密钥的值；公开密钥使用的算法标识符。此标识符包含公开密钥算法和hash算法。

·签发者唯一标识符（IssuerUniqueIdentifier）：签发者唯一标识符在第2版加入证书定义中。此域用在当同一个X.500名字用于多个认证机构时，用一比特字符串来唯一标识签发者的X.500名字。可选。

·证书持有者唯一标识符（SubjectUniqueIdentifier）：持有证书者唯一标识符在第2版的标准中加入X.509证书定义。此域用在当同一个X.500名字用于多个证书持有者时，用一比特字符串来唯一标识证书持有者的X.500名字。可选。

·签名值（Issuer'sSignature）：证书签发机构对证书上述内容的签名值。

X.509V3证书是在v2的基础上一标准形式或普通形式增加了扩展项，以使证书能够附带额外信息。标准扩展是指由X.509V3版本定义的对V2版本增加的具有广泛应用前景的扩展项，任何人都可以向一些权威机构，如ISO，来注册一些其他扩展，如果这些扩展项应用广泛，也许以后会成为标准扩展项。

3.1.2CRL格式

证书废除列表CRL（Certificaterevocationlists，又称证书黑名单）为应用程序和其它系统提供了一种检验证书有效性的方式。任何一个证书废除以后，证书机构CA会通过发布CRL的方式来通知各个相关方。目前，同X.509V3证书对对应的CRL为X.509v2CRL，其所包含的内容格式如下：

·CRL的版本号：0表示X.509V1标准；1表示X.509V2标准；目前常用的是同X.509V3证书对应的CRLV2版本。

·签名算法：包含算法标识和算法参数，用于指定证书签发机构用来对CRL内容进行签名的算法。pki技术理论及实现

·证书签发机构名：签发机构的DN名，由国家、省市、地区、组织机构、单位部门和通用名等组成。

·此次签发时间：此次CRL签发时间，遵循ITU-TX.509V2标准的CA在2049年之前把这个域编码为UTCTime类型，在2050或2050年之后年之前把这个域编码为GeneralizedTime类型。

·下次签发时间：下次CRL签发时间，遵循ITU-TX.509V2标准的CA在2049年之前把这个域编码为UTCTime类型，在2050或2050年之后年之前把这个域编码为GeneralizedTime类型。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-22547-4.html