Il wiki con tanti suggerimenti tecnici
Il wiki con tanti suggerimenti tecnici
X.509: definisce il formato standard dei certificati e il processo di certificazione;
Lo standard prevede due versioni: v1 del 1988 v2 del 1993 v3 del 1996 = v2 + estensioni + cert. di attributo v1 v3 del 2001 = v3 + cert. di attributo v2
e' parte integrante dello standard X.500 per i serizi di directory.
La struttura di un certificato digitale X.509 v3 è la seguente:
- versione: può essere 1, 2 o 3, in accordo alle specifiche emesse in tempi successivi;
- numero di serie: deciso dalla CA;
- algoritmo di firma: ripetuto in fondo, nella firma stessa, specifica come decrittarla;
- emittente: identifica la CA che ha apposto la firma, e (come anche il Subject name) è espresso con una sintassi X.500 nota come Distinguished Name (DN), composta da una serie di campi in cui compaiono coppie sigla-valore, in accordo al modello gerarchico originario, in cui le sigle dovrebbero individuare la catena delle CA coinvolte, ed identificare univocamente il soggetto, come: Country C, State or province SP, Locality L, Organisation O, Organisational unit OU, Common name CN ad esempio: C=US/L=Area 51/O=Hanger 18/OU=X.500 Standards Designers/CN=John Doe.
- periodo di validità: oltre il quale il certificato è da ritenersi scaduto;
- chiave pubblica del soggetto: è proprio l'oggetto del certificato!
- identificatori unici: per disambibuare il caso in cui lo stesso DN sia stato usato per soggetti diversi;
- estensioni: nella versione v3 dello standard, si è introdotta la possibilità di aggiungere un numero variabile di informaziioni, come ad esempio un indirizzo email, od un dominio Internet, o delle condizioni (policy) di utilizzo del certificato;
- firma: apposta dalla CA, utilizzando la sua chiave privata, in base ad un algoritmo a chiave pubblica.
Codifica dei certificati X.509: - DER: Distinguished Encoding Rules, costituisce una sintassi di trasferimento per dati la cui struttura è descritta mediante la notazione ASN.1, che ben si adatta al caso dei certificati X.509, allo scopo di permetterne la distribuzione verso sistemi con meccanismi di rappresentazione diversi. Il risultato è una sequenza di byte che rappresenta gli elementi della struttura dati di partenza, nella forma di triplette costituite da tipo-lunghezza-valore (TLV), in cui la codifica del tipo è la stessa valida per la sintassi di trasferimento BER. DER (Distinguished Encoding Rules): modalità di trasmissione/salvataggio di chiavi e certificati in formato binario; Sono semplicemente una versione binaria del formato PEM. Hanno estensione .der, .cer; in quest'ultimo caso l'unico modo per distinguere il formato è di aprire il file con un editor per vedere se sia in formato ASCII o binario. Sono tipicamente usati nella piattaforma Java.
- PEM: la rappresentazione base64 di una rappresentazione DER, "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----"; PEM (Privacy Enhanced Mail): codifica in Base64 di chiavi e certificati in formato DER; Formato più comunemente utilizzato dalle Certification Authorities per emettere i certificati, le estensioni convenzionali: .pem, .crt, .cer. Sono files ASCII con codifica Base64 e contengono "-----BEGIN CERTIFICATE-----" all'inizio e "-----END CERTIFICATE-----" alla fine. Possono essere in formato PEM sia certificati server, che certificati intermedi e chiavi private.
- P7B - vedi .p7c - P7C - struttura SignedData PKCS#7 senza dati, solo il/i certificato/i o la/le CRL (Certificate revocation list); - PFX - vedi .p12 - P12 - PKCS#12, può contenere certificati e chiavi pubbliche e private (protette da password);
- DER: Distinguished Encoding Rules, costituisce una sintassi di trasferimento per dati la cui struttura è descritta mediante la notazione ASN.1, che ben si adatta al caso dei certificati X.509, allo scopo di permetterne la distribuzione verso sistemi con meccanismi di rappresentazione diversi. Il risultato è una sequenza di byte che rappresenta gli elementi della struttura dati di partenza, nella forma di triplette costituite da tipo-lunghezza-valore (TLV), in cui la codifica del tipo è la stessa valida per la sintassi di trasferimento BER.
DER (Distinguished Encoding Rules): modalità di trasmissione/salvataggio di chiavi e certificati in formato binario;
Sono semplicemente una versione binaria del formato PEM. Hanno estensione .der, .cer;
in quest'ultimo caso l'unico modo per distinguere il formato è di aprire il file con un editor per vedere se sia in formato ASCII o binario.
Sono tipicamente usati nella piattaforma Java.
PEM: la rappresentazione base64 di una rappresentazione DER, -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----; PEM (Privacy Enhanced Mail): codifica in Base64 di chiavi e certificati in formato DER; Formato più comunemente utilizzato dalle Certification Authorities per emettere i certificati, le estensioni convenzionali: .pem, .crt, .cer. Sono files ASCII con codifica Base64 e contengono -----BEGIN CERTIFICATE----- all'inizio e -----END CERTIFICATE----- alla fine. Possono essere in formato PEM sia certificati server, che certificati intermedi e chiavi private.
Indietro