数字证书详解：概念、结构、分类与格式

创作时间:

作者:

@小白创作中心

数字证书详解：概念、结构、分类与格式

引用

来源

https://info.support.huawei.com/hedex/api/pages/EDOC1100331917/AZM1014P/05/resources/dc/dc_fd_pki_0007.html

数字证书简称证书，它是一个经证书授权中心（即在PKI中的证书认证机构CA）数字签名的文件，包含拥有者的公钥及相关身份信息。
数字证书可以说是Internet上的安全护照或身份证。当人们到其他国家旅行时，用护照可以证实其身份，并被获准进入这个国家。数字证书提供的是网络上的身份证明。
数字证书技术解决了数字签名技术中无法确定公钥是指定拥有者的问题。

证书结构

最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效期，颁发者（证书授权中心）的名称，该证书的序列号等信息，证书的结构遵循X.509 v3版本的规范。图1展示了一个常见的证书结构。

图1证书结构示意图

证书的各字段解释：

版本：即使用X.509的版本，目前普遍使用的是v3版本（0x2）。
序列号：颁发者分配给证书的一个正整数，同一颁发者颁发的证书序列号各不相同，可用与颁发者名称一起作为证书唯一标识。
签名算法：颁发者颁发证书使用的签名算法。
颁发者：颁发该证书的设备名称，必须与颁发者证书中的主体名一致。通常为CA服务器的名称。
有效期：包含有效的起、止日期，不在有效期范围的证书为无效证书。
主体名：证书拥有者的名称，如果与颁发者相同则说明该证书是一个自签名证书。
公钥信息：用户对外公开的公钥以及公钥算法信息。
扩展信息：通常包含了证书的用法、CRL的发布地址等可选字段。
签名：颁发者用私钥对证书信息的签名。

证书分类

证书有四种类型，如表1所示。

类型	描述	说明
自签名证书	自签名证书又称为根证书，是自己颁发给自己的证书，即证书中的颁发者和主体名相同。	申请者无法向CA申请本地证书时，可以通过设备生成自签名证书，可以实现简单证书颁发功能。设备不支持对其生成的自签名证书进行生命周期管理（如证书更新、证书撤销等），为了确保设备和证书的安全，建议用户替换为自己的本地证书。
CA证书	CA自身的证书。如果PKI系统中没有多层级CA，CA证书就是自签名证书；如果有多层级CA，则会形成一个CA层次结构，最上层的CA是根CA，它拥有一个CA“自签名”的证书。	申请者通过验证CA的数字签名从而信任CA，任何申请者都可以得到CA的证书（含公钥），用以验证它所颁发的本地证书。
本地证书	CA颁发给申请者的证书。
设备本地证书	设备根据CA证书给自己颁发的证书，证书中的颁发者名称是CA服务器的名称。	申请者无法向CA申请本地证书时，可以通过设备生成设备本地证书，可以实现简单证书颁发功能。说明：在关闭DNS服务器访问条件下，Chrome等浏览器打开内置Portal认证页面时，浏览器会有安全提示,可以访问认证页面成功。打开DNS服务器访问条件时，可能访问失败。这时候推荐用户尝试使用IE浏览器。部分终端在连接WIFI网络后，会主动向服务器发送HTTP探测请求报文，探测网络连通性。探测不通时，会校验证书是否为CA证书，导致Chrome等浏览器无法打开内置Portal认证页面。

证书格式

设备支持三种文件格式保存证书，如表2所示。

格式	描述	说明
PKCS#12	以二进制格式保存证书，可以包含私钥，也可以不包含私钥。常用的后缀有：.P12和.PFX。	对于证书后缀为.CER或.CRT，可以用记事本打开证书，查看证书内容来区分证书格式。如果有类似＂-----BEGIN CERTIFICATE-----＂和＂-----END CERTIFICATE-----＂的头尾标记，则证书格式为PEM。如果是乱码，则证书格式为DER。
DER	以二进制格式保存证书，不包含私钥。常用的后缀有：.DER、.CER和.CRT。
PEM	以ASCII码格式保存证书，可以包含私钥，也可以不包含私钥。常用的后缀有：.PEM、.CER和.CRT。