Что такое цифровой сертификат, рассматривалось в разделе "Инфраструктура открытых ключей" настоящей главы. В данном разделе будут рассмотрены подробнее структура и формат самого сертификата Х.509 как одного из наиболее широко используемых протоколов. Различным аспектам данного вопроса посвящено большое количество документов (RFC 2459, 2510, 2527, 2528, 2559, 2560, 2585, 2587, 3029, 3039).
Повторим лишь то, что основной целью цифрового сертификата служит обеспечение уверенности пользователя открытого ключа данного субъекта в том, что указанный открытый ключ действительно принадлежит заявленному субъекту.
Рассмотрим подробнее структуру самого сертификата.
- Поле Номер версии - определяет номер версии используемого сертификата. Равен 0 (версия 1), если присутствуют только базовые поля, без расширений и идентификаторов субъекта/изготовителя. Если присутствуют идентификаторы — равен 1 (версия 2), а если присутствует расширение — 2 (версия 3).
- Поле Серийный номер — уникальный номер, присваиваемый каждому сертификату.
- Поле Алгоритм подписи — идентификатор алгоритма, используемый при подписании сертификата. Должен совпадать с полем Алгоритм ЭЦП.
- Поле Изготовитель — идентифицирует того, кто выпустил и подписал сертификат, т. е., фактически сертифицирующего уполномоченного (СА - Certification Authority). Формат данного поля представляет Относительное отдельное имя (Relative Distinguished Name), используемое, например, в службах и протоколах каталогов (Х.500 или LDAP) и состоящее из комбинации различных параметров, таких как идентификатор страны, области, организации, домен, субдомен, фамилия/имя или наименование, дающих в совокупности некий уникальный идентификатор. Стандартный набор таких параметров или атрибутов определен в протоколе Х.500.
- Поле Субъект — идентифицирует владельца сертификата: того, кому принадлежит открытый ключ, указанный в сертификате. Формат также представлен в виде Относительного отдельного имени.
- Поле Период действия — временной интервал, в течение которого СА гарантирует поддержку статуса сертификата (например, своевременное сообщение о его отзыве). Представлено двумя полями — временем начала и завершения периода.
- Поле Открытый ключ — два поля, первое из которых указывает, какой алгоритм был использован для генерации ключа, а второе представляет собственно открытый ключ в виде набора битов.
- Поле Идентификаторы субъекта и изготовителя указаны на случай возникновения повторного использования одинакового имени субъекта или изготовителя.
- Поле Расширение — это дополнительный атрибут, связанный с субъектом, изготовителем или открытым ключом и предназначенный для управления процессами сертификации.
- Поле Алгоритм ЭЦП — идентификатор алгоритма, используемый при подписании сертификата. Должен совпадать с полем Алгоритм подписи.
- Собственное поле ЭЦП — набор битов, составляющих электронно-цифровую подпись под данным сертификатом. В ее формировании участвуют поля, указанные в теле сертификата.