云南龙网

  1. 首页 > 云知道 > >

X.509证书请求消息格式

云知道

【X.509证书请求消息格式】此备忘录的状况
此文档为因特网社区具体描述了一个因特网标准途径协议,并且请求改善的讨论和建
议 。为了确保此协议的标准化状态,请参考当前版本的因特网官方协议标准(STD1) 。本备
忘录的发布是不受限制的 。
版权通知
版权所属因特网社会(1999),保留全部权力 。
目录
1摘要 2
2略读 2
3证书请求信息(CertReqMessage)的语法 2
4拥有私钥的证实(POP) 3
4.1签名密钥 3
4.2加密密钥 3
4.3协议密钥 4
4.4POP语法 4
5CertRequest语法 6
6Controls语法 7
6.1注册号(RegistrationToken)控制 7
6.2鉴定者(Authenticator)控制 7
6.4文档选项(ArchiveOptions)控制 8
6.5旧证书ID(OldCertID)控制 9
6.6协议加密密钥(ProtocolEncryptionKey)控制 9
7对象标识符(ObjectIdentifiers) 10
8对于安全的考虑 10
9参考 10
10谢辞 11
附录A.构造dhMAC 11
AppendixB.UseofRegInfoforName-ValuePairs 12
AppendixC.ASN.1StrUCturesandOIDs 15
FullCopyrightStatement 21
1摘要
本文描述了证书请求消息格式(CRMF) 。它被用来向CA传递一个产生X.509证书请求
(可能通过RA) 。请求消息一般包括公钥和有关的登记信息 。
2略读
证书请求构成的步骤如下:
1) 产生CertRequest值,其值包括:公钥,所有或部分的终端实体(EE)的名字,其他所
要求的证书值域,以及与登记过程相连系的控制信息 。
2) 可以通过计算CertRequest的值来证实拥有与所请求的证书的公钥相连系的私钥,即可
计算出POP(proofofpossession,拥有私钥的证实)的值 。
3) 以上两项所需要的其他登记信息,这些信息和POP值,CertRequest结构组成证书请求
信息 。
4) 证书请求信息被秘密传递给CA,传递的方法不是本文叙述的范围 。
3证书请求信息(CertReqMessage)的语法
证书请求信息由证书请求,一个可选的检验项,以及一个可选的登记信息项 。
CertReqMessages::=SEQUENCESIZE(1..MAX)OFCertReqMsg
CertReqMsg::=SEQUENCE{
certReqCertRequest,
popProofOfPossessionOPTIONAL,
--其内容依靠于密钥类型
regInfoSEQUENCESIZE(1..MAX)ofAttributeTypeAndValueOPTIONAL}
POP用来证实证书请求者确实拥有所对应的私钥 。此项可由certReq计算出来,其内容和结
构随公钥算法的类型和运作模式的改变而改变 。regInfo项仅包括与证书请求有关的补充信
息 。它还可包括请求者的联系信息,布告信息,或对证书请求有用的辅助信息 。直接与证书
内容有关的信息应该包括在certReq中 。然而若RA包含另外的certReq内容,这可以使pop
项无效 。因此其余证书想要的数据可以由regInfo提供 。
4拥有私钥的证实(POP)
为了防止某些攻击以及答应CA/RA检验终端实体和密钥对之间对应的有效性,PKI管
理操作使终端实体有能力证实拥有(也就是说能用)与证书公钥所对应的私钥 。CA/RA在证书
交换中可自由选择如何实施POP(例如带外的方法或CRMF的带内的方法),也就是说这可
以是一个策略问题 。然而,因为现在有许多非PKIX的操作协议在使用(例如许多电子邮件
协议),它们并不检验终端实体和私钥之间的对应性,这要求CA/RA必须通过一些方法来实
施POP 。这种对应性仅能被CA/RA假设为已证实,直到普遍存在可操作的协议(如签名,
加密,协议密钥对),这样才能证实对应性的存在 。因此若CA/RA没有证实对应性,在英特
网PKI中的证书将没有意义 。

推荐阅读


上一篇:路灯的好处

下一篇:如何查自己本地IP和宽带IP