简述
本文主要介绍ASN.1分析X509证书。
X.509证书格式
Cer/crt用于保存证书,并以没有私钥的二进制数存储。
X.509证书详细解析
Certificate ::= sequence {
tbsCertificate TBSCertificate, -- 证书主体
signatureAlgorithm AlgorithmIdentifier, -- 证书签名算法标识
signatureValue BIT STRING --证书签名值,是使用signatureAlgorithm部分指定的签名算法对tbsCertificate证书主题部分签名后的值。
}
TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1, -- 证书版本号
serialNumBER CertificateSerialNumber, -- 证书序列号,对同一CA所颁发的证书,序列号唯一标识证书
signature AlgorithmIdentifier, --证书签名算法标识
issuer Name, --证书发行者名称
validity Validity, --证书有效期
subject Name, --证书主体名称
subjectPublicKeyInfo SubjectPublicKeyInfo, --证书公钥
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL, -- 证书发行者ID(可选),只在证书版本2、3中才有
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL, -- 证书主体ID(可选),只在证书版本2、3中才有
extensions [3] EXPLICIT Extensions OPTIONAL
-- 证书扩展段(可选),只在证书版本3中才有
}
其中:
Version ::= INTEGER { v1(0), v2(1), v3(2) }
AlgorithmIdentifier ::= SEQUENCE {
algorithm OBJECT IDENTIFIER, -- 证书主体持有的公钥密码算法
parameters ANY DEFINED BY algorithm OPTIONAL } -- 参数任意有算法定义可选
ASN.1编码规则
–基本编码规则(BER)[定义了一种或者几种方法,使用ASN.1语法将数据对象转换成二进制字节码]
–唯一编码规则(DER)[BER的子集,定义了唯一一种方法,使用ASN.1讲数据对象转换成二进制字节码]
–规范编码规则(CER)
–压缩编码规则(PER)
–XML编码规则(XER)
BER基本规则
BER是ASN.1最早定义的编码规则。BER传输语法的格式一直是TLV三元组
- 短格式
length<=127
举例:
length=35
35转16进制为23
35的长度域表示为:100011 为[0010 0011]
- 长格式
length>127
举例:
length = 169 转换为 81 A9
(169长度超过127,长度域为1000 0001 1010 1001;
169是后8位的值,前8位的第一个1表示这是一个长格式的表示方法,前8位的后7位表示后面有多少个字节表示针对的长度000 0001后面有一个字节表示真正的长度 1010 1001是表示长度为169)
length=1500=>82 05 DC(1000 0010 0000 0101 1101 1100,先看第一个字节,表示长格式,后面有2 个字节表示长度,这两个字节是0000 0101 1101 1100 表示1500)
- context[]
[0] –- 表示证书的版本
[1] –- issuerUniqueID,表示证书发行者的唯一id
[2] –- subjectUniqueID,表示证书主体的唯一id
[3] –- 表示证书的扩展字段
ASN1view分析证书
- ASN.1常用标记符示例
0x02:Integer(整数,包括正数和负数)
0x03:Bit String(任意的01比特流)
0x04:OCTET String(任意的字节流)
0x05:NULL(只包含一个值NULL,用于传送一个报告或者作为CHOICE类型中的某些值)
0x06:Object Identifier(对象标识符)
0x12:UTF8 String
0x13:Printable String
0x17:UTC Time(时间类型)
0x30:Sequence(顺序类型)
0x31:Set(集合类型)
证书信息本身是一个SEQUENCE,里面有两个SEQUENCE和一个BIT STRING组成.
其中,第一个SEQUENCE是待签的证书,tbsCertificate=TO BE Signed Certificate;第二个SEQUENCE是签名算法,就是CA准备采用什么签名算法对tbsCertificate进行签名;第三个BIT STRING是签名信息,就是CA对tbsCertificate通过signatureAlgorithm签名算法签出来的签名信息。
其中tbsCertificate又包含了一下内容:
- Version
version 是一个ASN1 INTEGER类型(0x02),长度是1(0x1), 数据是0x2,说明版本号是x509v3
- SerialNumber
序列号也是一个ASN1 INTEGER类型,长度是5, 数据是53ad44bcab就是359389248683(10进制转10进制)
- AlgorithmIdentifier
在www.OID-in上查询这个OID:1.2.840.113549.1.1.5的结果,它代表的是
sha1-with-rsa-signature(5)
[other identifiers: sha1WithRSAEncryption, sha-1WithRSAEncryption]
即使用了SHA1摘要算法的RSA签名算法
- issuer
issuer由一个sequence组成,sequence下面有N个set,set下又跟了一个sequence。其中一个set代表一个字段,如下图,第一个set代表CN;在set下的sequence中又包含一个OBject Identifier(简称:OID)、UTF8String
查询OID:2.5.4.3
commonName(3)
[other identifier: cn]
在UTF8String中查看value:RSA_CA_SUB。
以此类推set,可得出完整的颁发者。
备注:
- validity
2049年以前的有效期用UTCTime格式编码.2050及之后的时间必须使用GeneralizedTime 类型。这两种的主要区别在于前者用两个数字来表示年.而后者用4个数字
UCTime:世界时间类型
GeneralizedTime:通用的时间类型
UTCtime格式如下多种:
YYMMDDhhmmZ
YYMMDDhhmm+hh'mm'
YYMMDDhhmm-hh'mm'
YYMMDDhhmmssZ
YYMMDDhhmmss+hh'mm'
YYMMDDhhmmss-hh'mm'
其中,
YY:当YY大于或者等于50年,年应该解释为19YY,当YY不到50,年应该解释为20YY
MM:月,01-12
DD:日,01-31
hh:小时,00-23
mm:分钟,00-59
ss:秒,00-59
Z/+/-:Z表示GMT时间,+/-表示本地时间与GMT时间的差距
hh':与GMT的差
mm':与GMT的差
则:200827230643Z 为:
YY:20年
MM:08月
DD:27日
hh:23时(23时+8时=7时)
MM:06分
ss:43秒
- subject Name
和颁发者Dn类似
- Subject Public Key Info
证书公钥信息中的BIT STRING就是公钥的二进制
- extensions
扩展信息
OID的计算方式
对象标识符(OID),是一个用"."隔开的非负整数组成的序列。下面说下OID的编码设计:设OID=V1.V2.V3.V4.V5....Vn,则DER编码的value部分规则如下:(1)计算40*V1+V2作为第一字节;(2)将Vi(i>=3)表示为128进制,每一个128进制位作为一个字节,再将除最后一个字节外的所有字节的最高位置1;(3)依次排列,就得到了value部分。举例:OID=1.2.840.11359.1.1的编码如下:
其中高位进1的意思为:
【0x01 0x1c】对0x01进行进1
0的2进制为 0000-------高位进1------1000------转16进制为8
【0x4f 0x55】
4的二进制为 0100 --------高位进1-------1100------转16进制为c
【0x06 0x77 0x0d】
0的二进制为 0000---------高位进1-------1000------转16进制为8
7的二进制为 0111---------高位进1-------1111------转16进制为f
备注:
10进制如何转16进制
16进制数:
10进制数:1 2 3 4 5 6 7 8 9
16进制数:1 2 3 4 5 6 7 8 9
10进制数:10 11 12 13 14 15
16进制数: A B C D E F
1.《【100011】ASN.1分析X509证书》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《【100011】ASN.1分析X509证书》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/2029071.html