|
 Chipkarten Standards (7816, 14443)
| X.509 CRL
|
X.509 |
| |
|
|
|
1988 wurden vom damaligen CCITT, heute ITU, die Standards x.500 und x.509 herausgegeben. x.509 beschreibt einen Rahmen in dem von einem Verzeichnisdienst (x.500) auch Authentifizierungsdienste angeboten werden.
Der x.509 Standard ist so allgemein gehalten, dass er nicht nur mit x.500 zusammen genutzt werden kann. Das Format wurde von Version zu Version erweitert. Im April 2000 wurde die 4. Edition herausgebracht, mit Authentifizierungs- und Autorisierungserweiterungen für den Elektronischen Handel, und Verbesserungen, um die korrekte Verarbeitung der Zertifizierungspfade, die mehrere Zertifizierungstellen innerhalb der dezentraler Unternehmen miteinbeziehen, zu verbessern sowie Verbesserungen im Bereich des Widerrufs.
Das Zertifikatsformat wurde ausgeweitet blieb aber rückwärtskompatibel, während durch die optionalen Erweiterungen sichergestellt wurde, dass bestimmte Anforderungen für Anwendungen erfüllt werden können.
|
 |
 |
|
Zertifikat |
|
Spezifikationen und Profile |
Der Unterschied zwischen einer Spezifikation und einem Profil ist dadurch charakterisiert, dass eine Spezifikation wie X.509 keine Beschränkungen aufstellt, welche Kombinationen in verschiedenen Zertifikatstypen auftauchen können. Wohingegen in einem Profil solche Nebenbedingungen aufgestellt werden. PKIX stellt das Internet PKI-Profil dar.
|
X.509 Evolution |
|
1. Ausgabe: 1988 |
Version 1 |
Version 1 |
|
2. Ausgabe 1994 |
Version 2 |
Version 1 |
|
3. Ausgabe: 1997 |
Version 3 |
Version 2 |
|
4. Ausgabe: 2000 |
Version 3 |
Version 2 |
|
 |
 |
|
|
 |
|
Zertifikatsformat |
 |
v1, Version Number |
|
v1, Serial Number |
|
v1, Signature |
|
v1, Issuer |
|
v1, Validity |
|
v1, Subject |
|
v1, Subject Public Key Info |
|
v2, Issuer Unique Identifier |
|
v2, Subject Unique Identifier |
|
v3, Extensions |
|
|
 |
|
Zertifikat X.509 v1 |
|
Versionsnummer |
Dieses Feld indiziert das Format des Zertifikats und damit des erlaubten Inhalts im Zertifikat.
|
Seriennummer |
Die Seriennummer eines, durch eine bestimmte CA ausgestellten, Zertifikates ist eindeutig. Diese ist ein Hexadezimalwert, obwohl auch schon mal Dezimalwerte dafür angegeben werden. Der Aussteller und die Seriennummer identifizieren gemeinsam eindeutig ein Zertifikat
|
Signaturalgorithmus |
Identifiziert den Typ der verwendeten Hash-Funktion sowie den Signaturalgorithmus.
|
Aussteller |
Identifiziert die Instanz, welche das Zertifikat ausgegeben und signiert hat, mittels eines Distinguished Name (DN), auf Deutsch "Definierter Name", nach X.501.
|
Gültigkeit |
Dieses Feld enthält eine Sequenz von 2 Datumsangaben innerhalb welcher das Zertifikat Gültigkeit besitzt.
|
Inhaber |
Im Subject sind die Angaben zum Subjekt (Inhaber, Benutzer oder auch Antragsteller) zu finden. Mittels Distinguished Name wird das Individuum oder die Instanz, welche zum öffentlichen Schlüssel gehört, identifiziert.
|
öffentlicher Schlüssel des Inhabers |
Dieses Feld beinhaltet den öffentlichen Schlüssel, das eigentliche Zertifizierungsobjekt. Zusätzlich ist hier der Algorithmus angegeben, mit dem der öffentliche Schlüssel verwendet werden kann.
|
Aussteller-ID |
Dieses optionale Feld ist mit Version 2 eingeführt worden und ist für eine Wiederverwendung eines Ausstellernamen für verschiedene Instanzen über die Zeit gedacht. In PKIX-RFCs wird von diesem Feature abgeraten.
|
Inhaber-ID |
Für dieses Feld gilt dasselbe wie für Aussteller-ID.
|
Zertifikatserweiterungen |
Erweiterungen erlauben zusätzliche Informationen in das Zertifikat zu verpacken, ohne das Zertifikatsformat ändern zu müssen. In X.509 sind einige Standarderweiterungen definiert, wobei PKIX diese für den Einsatz im Internet genauer ausdefiniert und einige private Erweiterungen für die Verwendung im Internet definiert.
Mittels OID können "private" Erweiterungen für bestimmte Anwendungszwecke, bzw. um Rückwärtskompatibilität herzustellen, definiert werden, was z.B. bei den Netscape Private Extensions der Fall ist, die älter sind als die PKIX-Erweiterungen.
|
|
|
Linktipps |
|
|
|
