什么是 X.509 证书以及它是如何工作的？ _生活百科

X.509 证书是基于广泛接受的国际电信联盟 (ITU) X.509 标准的数字证书，该标准定义了公钥基础设施 (PKI) 证书的格式。它们用于管理互联网通信和计算机网络中的身份和安全。它们不显眼且无处不在，我们每天在使用网站、移动应用程序、在线文档和连接设备时都会遇到它们。
安全消息传递和 Web 浏览
X.509 证书的结构优势之一是它是使用由相关公钥和私钥组成的密钥对构建的。应用于密码学，公钥和私钥对用于加密和解密消息，确保发送者的身份和消息本身的安全性。基于 X.509 的 PKI 最常见的用例是传输层安全性 (TLS)/安全套接字层 (SSL)，它是 HTTPS 协议的基?。?可实现安全的 Web 浏览。但 X.509 协议也适用于应用程序安全、数字签名和其他关键互联网协议的代码签名。
版本历史
X.509 标准的第一个版本于 1988 年发布。为了规范证书颁发规则，国际电联电信标准化部门 (ITU-T) 开发了一个遵循电子目录服务规则的专有名称分级系统用于 X.500，并受到用于在全球范围内分配电话号码的系统的启发，但适用于 Internet 更灵活的组织要求。
1996 年，该标准的第 3 版提供了重大更新，增加了多个扩展，这些扩展至今仍在使用，以支持互联网使用的扩展和新应用。
现在版本 9 是该标准的当前版本，已于 2019 年 10 月定义。
此外，被称为 PKIX 的互联网工程任务组 (IETF) 公钥基础设施工作组在开发自己的互联网 X.509 公钥基础设施证书和证书撤销列表 (CRL) 时采用了 X.509 v3 证书标准配置文件标准 (RFC 5280) 。
X.509 证书的好处
信任——数字证书允许个人、组织甚至设备在数字世界中建立信任。作为所有数字身份的基础，X.509 证书无处不在，对于从网站到应用程序再到端点设备和在线文档的每个连接过程都至关重要。例如，如果没有这些，我们将无法相信 www.amazon.com 实际上是亚马逊的网站。
这种信任级别是由 X.509 证书的工作方式和颁发方式建立的。密钥使用架构允许证书验证：

公钥属于证书中包含的主机名/域、组织或个人
它已由公开信任的颁发者证书颁发机构 (CA) 签名，如 Sectigo，或自签名。

当证书由受信任的 CA 签名时，证书用户可以确信证书所有者或主机名/域已经过验证，而自签名证书可以在较小程度上被信任，因为所有者不经过任何额外的签发前的验证。
可扩展性——这种基于证书的身份识别方法的另一个好处是可扩展性。PKI 架构的可扩展性如此之高，以至于它可以保护组织每天通过自己的网络和互联网交换的数十亿条消息。实现这一点的原因是，公钥可以广泛且公开地分发，而恶意行为者无法发现解密消息所需的私钥。
X.509 证书如何工作？
X.509 标准基于一种称为抽象语法符号一 (ASN.1) 的接口描述语言，它定义了可以跨平台方式进行序列化和反序列化的数据结构。利用 ASN，X.509 证书格式使用相关的公钥和私钥对来加密和解密消息。
公钥基础设施的基础
公钥由一串随机数组成，可用于加密消息。只有预期的接收者才能解密和阅读这条加密消息，并且只能使用相关的私钥来解密和阅读，该私钥也是由一长串随机数组成的。这个私钥是秘密的，只有接收者知道。由于公开密钥向全世界公开，因此使用复杂的加密算法创建公钥，通过生成不同长度的随机数字组合将它们与关联的私钥配对，这样它们就不会被暴力攻击利用。用于生成公钥的最常用算法是：

Rivest-Shamir-Adleman (RSA)
椭圆曲线密码学 (ECC)
数字签名算法 (DSA)

公钥的密钥大小或比特长度决定了保护的强度。例如，2048 位 RSA 密钥通常用于 SSL 证书、数字签名和其他数字证书。此密钥长度提供了足够的加密安全性，以防止黑客破解算法。CA/浏览器论坛等标准组织定义了支持的密钥大小的基线要求。
?
编辑切换为居中
图：X.509 证书使用相关的公钥和私钥对进行身份验证和 Internet 通信和计算机网络的安全性
发行字段
X.509 证书字段包含有关颁发证书的身份以及颁发者 CA 的身份的信息。标准字段包括：