第 2 章 管理证书
摘要
TLS 身份验证使用 X.509 证书,这是常见、安全且可靠的应用对象方法。您可以创建 X.509 证书来标识您的红帽 Fuse 应用程序。
2.1. 什么是 X.509 证书?
证书角色
公钥的完整性
安全应用程序的身份验证取决于应用证书中公钥值的完整性。如果 impostor 将公钥替换为自己的公钥,它可以模拟 true 应用并获得对安全数据的访问。
为防止此类攻击,所有证书都必须由 证书颁发机构 (CA)签名。CA 是一个可信节点,用于确认证书中公钥值的完整性。
数字签名
CA 通过向其证书添加 数字签名 来签署证书。数字签名是用 CA 的私钥编码的一条消息。通过为 CA 发布证书,CA 的公钥可供应用程序使用。应用程序使用 CA 的公钥解码 CA 的数字签名来验证证书是否为有效签名。
提供的演示证书是自签名证书。这些证书不安全,因为任何人都可以访问其私钥。要保护您的系统,您必须创建一个由可信 CA 签名的新证书。
X.509 证书的内容
X.509 证书包含有关证书主题和证书签发者(签发证书的 CA)的信息。证书以 Abstract Syntax Notation One (ASN.1)编码,这是描述网络中可以发送或接收的消息的标准语法。
证书的角色是将身份与公钥值关联。如需更多详情,证书包括:
- 标识证书所有者 的主题可区分名称(DN)。
- 与主题关联的 公钥。
- X.509 版本信息。
- 唯一标识 证书的序列号。
- 标识签发证书的 CA 的 签发者 DN。
- 签发者的数字签名。
- 有关用于为证书签名的算法的信息。
- 一些可选 X.509 v.3 扩展(例如,一个扩展)存在可区分 CA 证书和最终用户证书的扩展。
区分名称
DN 是一个通用 X.500 标识符,通常用于安全性上下文中。
有关 DN 的详情,请查看 附录 A, ASN.1 和可辨识名称。