我是否假设可以防止请求或X509证书中的主题和扩展信息被修改,这是正确的吗?
这个签名只是嵌入在ASN.1编码中的另一个元素吗?
最佳答案
阐述@Eugene的评论:
Internet X.509公钥基础结构证书和证书吊销列表(CRL)配置文件上的RFC 5280将证书指定为:
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING }
TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version MUST be v2 or v3
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version MUST be v2 or v3
extensions [3] EXPLICIT Extensions OPTIONAL
-- If present, version MUST be v3
}
我是否假设可以防止请求或X509证书中的主题和扩展信息被修改,这是正确的吗?
我不确定您确切要求的是哪种请求,但是在X509证书中,
subject和extensions都是tbsCertificate的一部分,而signatureValue由签名,这确实是防止修改的保护。关于ssl - Request/X509备用名称/扩展名信息的完整性,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/22991523/