当前位置：首页 > news >正文

证书学习（四）X.509数字证书整理

news 2025/11/6 4:30:02

- 一、X.509证书介绍
- - 1.1 什么是 X.509证书？
  - 1.2 什么是 X.509标准？
  - 1.3 什么是 PKI？
- 二、X.509证书工作原理
- - 2.1 证书认证机构（CA）
  - 2.1 PKI 的基础——加密算法
  - 2.2 PKI 证书编码
- 三、X.509证书结构
- - 3.1 证书字段
  - 3.2 证书扩展

背景：

我们在日常的开发过程中，经常会遇到各种各样的电子证书文件，其实我们常见的 .p12、.pfx、.crt、.csr、.pem、.key 后缀的文件都是 X.509 证书。
本篇文章就让我们一起来学习了解一下，什么是 X.509 证书？

一、X.509证书介绍

1.1 什么是 X.509证书？

X.509证书 是一种遵循 X.509标准（RFC 5280） 的数字证书，是目前 世界上使用最广泛 的数字证书类型，用于验证网络通信中的实体身份。

它包含了：公钥、证书认证机构（CA）信息、有效期、序列号，以及证书持有者的其他 元数据。
X.509证书广泛使用于 HTTPS、S/MIME、SSL/TLS 等安全协议中，以确保双方的身份真实性。
除了 X.509证书这种类型之外，数字证书还有其他类型的证书，如 PGP证书，主要在 PGP 加密系统中验证密钥的归属。

1.2 什么是 X.509标准？

X.509标准 是由 ITU（国际电信联盟） 制定的 一套数字证书标准，它是 PKI（公钥基础设施） 的 标准格式。

想了解更多的话，可以找官方资料阅读一下。

国家标准（中文文档）：《GB/T 20518-2018 信息安全技术公钥基础设施数字证书格式.pdf》

在这里插入图片描述

1.3 什么是 PKI？

PKI（Public Key Infrastructure），即公钥基础设施，是一种用于管理和验证数字证书的 框架体系。PKI 提供了一种安全的方式来管理公钥加密技术，确保、确信双方能够信任对方的身份，并保证数据传输的安全性。

PKI 的工作流程：

证书申请：终端实体向 RA 提交证书申请，包含个人信息和公钥。
身份验证：RA 验证终端实体的身份信息。
证书签发：CA 根据 RA 的验证结果签发数字证书，并使用自己的私钥对证书进行签名。
证书分发：证书通过安全的渠道分发给终端实体。
证书使用：终端实体使用证书进行加密、签名等操作。
证书验证：接收方验证证书的有效性，包括证书的签名、过期日期等。
证书撤销：当证书不再有效或需要提前撤销时，CA 会将证书加入 CRL 或通过 OCSP 发布撤销状态。

二、X.509证书工作原理

X.509 标准基于一种 ASN.1（抽象语法表示法） 的 接口描述语言，这种接口描述语言定义了可以 跨平台方式序列化 和 反序列化 的数据结构。利用 ASN.1，X.509 证书格式可以使用公钥和私钥来加密和解密信息。

X.509 证书 PEM 格式示例：

-----BEGIN CERTIFICATE-----
MIIDcjCCAlqgAwIBAgIEMAdjIzANBgkqhkiG9w0BAQsFADBWMQswCQYDVQQGEwJj
bjELMAkGA1UECBMCYmoxCzAJBgNVBAcTAmJqMQ4wDAYDVQQKEwViY