简述

本文主要介绍ASN.1分析X509证书。

X.509证书格式

cer/crt是用于存放证书,以2进制形式存放,不含私钥。pem和cer/crt区别是它以Ascii来表示,可以用于存放证书或者私钥。pfx/p12用于存放个人证书/私钥。通常包含保护密码,2进制方式。p10是证书请求p7r是CA对证书请求的回复,只用于导入。p7b以树状展示证书链,同时支持单个证书,不含私钥。


X.509证书详细解析




pem生产crt 在线 pem和crt_pem生产crt 在线


Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate, -- 证书主体
signatureAlgorithm AlgorithmIdentifier, -- 证书签名算法标识
signatureValue BIT STRING --证书签名值,是使用signatureAlgorithm部分指定的签名算法对tbsCertificate证书主题部分签名后的值。
}


pem生产crt 在线 pem和crt_16进制_02


TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1, -- 证书版本号
serialNumber CertificateSerialNumber, -- 证书序列号,对同一CA所颁发的证书,序列号唯一标识证书
signature AlgorithmIdentifier, --证书签名算法标识
issuer Name, --证书发行者名称
validity Validity, --证书有效期
subject Name, --证书主体名称
subjectPublicKeyInfo SubjectPublicKeyInfo, --证书公钥
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL, -- 证书发行者ID(可选),只在证书版本2、3中才有
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL, -- 证书主体ID(可选),只在证书版本2、3中才有
extensions [3] EXPLICIT Extensions OPTIONAL
-- 证书扩展段(可选),只在证书版本3中才有
}

其中:

Version ::= INTEGER { v1(0), v2(1), v3(2) }
AlgorithmIdentifier ::= SEQUENCE {
algorithm OBJECT IDENTIFIER, -- 证书主体持有的公钥密码算法
parameters ANY DEFINED BY algorithm OPTIONAL } -- 参数任意有算法定义可选

ASN.1编码规则

–基本编码规则(BER)[定义了一种或者几种方法,使用ASN.1语法将数据对象转换成二进制字节码]

–唯一编码规则(DER)[BER的子集,定义了唯一一种方法,使用ASN.1讲数据对象转换成二进制字节码]

–规范编码规则(CER)

–压缩编码规则(PER)

–XML编码规则(XER)


pem生产crt 在线 pem和crt_pem生产crt 在线_03


BER基本规则

BER是ASN.1最早定义的编码规则。BER传输语法的格式一直是TLV三元组


pem生产crt 在线 pem和crt_16进制_04


pem生产crt 在线 pem和crt_二进制证书如何显示pem格式_05


  • 短格式

length<=127

举例:

length=35

35转16进制为23

35的长度域表示为:100011 为[0010 0011]

  • 长格式

length>127

举例:

length = 169 转换为 81 A9

(169长度超过127,长度域为1000 0001 1010 1001;

169是后8位的值,前8位的第一个1表示这是一个长格式的表示方法,前8位的后7位表示后面有多少个字节表示针对的长度000 0001后面有一个字节表示真正的长度 1010 1001是表示长度为169)

length=1500=>82 05 DC(1000 0010 0000 0101 1101 1100,先看第一个字节,表示长格式,后面有2 个字节表示长度,这两个字节是0000 0101 1101 1100 表示1500)


pem生产crt 在线 pem和crt_pem生产crt 在线_06


  • context[]

[0] –- 表示证书的版本

[1] –- issuerUniqueID,表示证书发行者的唯一id

[2] –- subjectUniqueID,表示证书主体的唯一id

[3] –- 表示证书的扩展字段

ASN1view分析证书

  • ASN.1常用标记符示例

0x02:Integer(整数,包括正数和负数)

0x03:Bit String(任意的01比特流)

0x04:OCTET String(任意的字节流)

0x05:NULL(只包含一个值NULL,用于传送一个报告或者作为CHOICE类型中的某些值)

0x06:Object Identifier(对象标识符)

0x12:UTF8 String

0x13:Printable String

0x17:UTC Time(时间类型)

0x30:Sequence(顺序类型)

0x31:Set(集合类型)

证书信息本身是一个SEQUENCE,里面有两个SEQUENCE和一个BIT STRING组成.

其中,第一个SEQUENCE是待签的证书,tbsCertificate=TO BE Signed Certificate;第二个SEQUENCE是签名算法,就是CA准备采用什么签名算法对tbsCertificate进行签名;第三个BIT STRING是签名信息,就是CA对tbsCertificate通过signatureAlgorithm签名算法签出来的签名信息。


pem生产crt 在线 pem和crt_16进制_07


其中tbsCertificate又包含了一下内容:


pem生产crt 在线 pem和crt_16进制_08


  • Version


pem生产crt 在线 pem和crt_签名算法_09


version 是一个ASN1 INTEGER类型(0x02),长度是1(0x1), 数据是0x2,说明版本号是x509v3


pem生产crt 在线 pem和crt_签名算法_10


  • SerialNumber

序列号也是一个ASN1 INTEGER类型,长度是5, 数据是53ad44bcab就是359389248683(10进制转10进制)


pem生产crt 在线 pem和crt_进制_11


  • AlgorithmIdentifier

在www.oid-info.com上查询这个OID:1.2.840.113549.1.1.5的结果,它代表的是

sha1-with-rsa-signature(5)

[other identifiers: sha1WithRSAEncryption, sha-1WithRSAEncryption]

即使用了SHA1摘要算法的RSA签名算法


pem生产crt 在线 pem和crt_pem生产crt 在线_12


  • issuer

issuer由一个sequence组成,sequence下面有N个set,set下又跟了一个sequence。其中一个set代表一个字段,如下图,第一个set代表CN;在set下的sequence中又包含一个OBject Identifier(简称:OID)、UTF8String

查询OID:2.5.4.3

commonName(3)

[other identifier: cn]

在UTF8String中查看value:RSA_CA_SUB。

以此类推set,可得出完整的颁发者。

备注:


pem生产crt 在线 pem和crt_签名算法_13


  • validity

2049年以前的有效期用UTCTime格式编码.2050及之后的时间必须使用GeneralizedTime 类型。这两种的主要区别在于前者用两个数字来表示年.而后者用4个数字

UCTime:世界时间类型

GeneralizedTime:通用的时间类型

UTCtime格式如下多种:

YYMMDDhhmmZ

YYMMDDhhmm+hh'mm'

YYMMDDhhmm-hh'mm'

YYMMDDhhmmssZ

YYMMDDhhmmss+hh'mm'

YYMMDDhhmmss-hh'mm'

其中,

YY:当YY大于或者等于50年,年应该解释为19YY,当YY不到50,年应该解释为20YY

MM:月,01-12

DD:日,01-31

hh:小时,00-23

mm:分钟,00-59

ss:秒,00-59

Z/+/-:Z表示GMT时间,+/-表示本地时间与GMT时间的差距

hh':与GMT的差

mm':与GMT的差

则:200827230643Z 为:

YY:20年

MM:08月

DD:27日

hh:23时(23时+8时=7时)

MM:06分

ss:43秒


pem生产crt 在线 pem和crt_二进制证书如何显示pem格式_14


pem生产crt 在线 pem和crt_进制_15


  • subject Name

和颁发者Dn类似


pem生产crt 在线 pem和crt_签名算法_16


  • Subject Public Key Info

证书公钥信息中的BIT STRING就是公钥的二进制


pem生产crt 在线 pem和crt_签名算法_17


  • extensions

扩展信息


pem生产crt 在线 pem和crt_16进制_18


OID的计算方式

对象标识符(OID),是一个用"."隔开的非负整数组成的序列。下面说下OID的编码设计:设OID=V1.V2.V3.V4.V5....Vn,则DER编码的value部分规则如下:(1)计算40*V1+V2作为第一字节;(2)将Vi(i>=3)表示为128进制,每一个128进制位作为一个字节,再将除最后一个字节外的所有字节的最高位置1;(3)依次排列,就得到了value部分。举例:OID=1.2.840.11359.1.1的编码如下:


pem生产crt 在线 pem和crt_16进制_19


pem生产crt 在线 pem和crt_16进制_20


其中高位进1的意思为:

【0x01 0x1c】对0x01进行进1

0的2进制为 0000-------高位进1------1000------转16进制为8

【0x4f 0x55】

4的二进制为 0100 --------高位进1-------1100------转16进制为c

【0x06 0x77 0x0d】

0的二进制为 0000---------高位进1-------1000------转16进制为8

7的二进制为 0111---------高位进1-------1111------转16进制为f

备注:

10进制如何转16进制

16进制数:

10进制数:1 2 3 4 5 6 7 8 9

16进制数:1 2 3 4 5 6 7 8 9

10进制数:10 11 12 13 14 15

16进制数: A B C D E F


pem生产crt 在线 pem和crt_签名算法_21