| Zertifikate - technik |
Seite 4 von 4 Zertifikatsaufbau nach X.509v3Wie sieht so ein X.509v3-Zertifikat eigentlich aus?Wie oben bereits schon erwähnt, könnt Ihr euch unter Windows (Internetoptionen) die installierten Zertifikate ansehen. Diese Zertifikate sind alle nach dem X.509-Format aufgebaut. So ein X.509v3-Zertifikat besteht aus folgendem ASN.1 kodierten Format:Certificate ::= SEQUENCE { tbsCertificate TBSCertificate, signatureAlgorithm AlgorithmIdentifier, signature BIT STRING } Die Struktur "tbsCertificate" beinhaltet euere Daten (z. B. Name), die mit den Signaturalgorithmus "signatureAlgorithm" signiert werden. Die signierten Daten werden dann in dem Feld "signature" abgelegt. In der Struktur "tbsCertificate" sind nun folgende Informationen ASN.1 kodiert abgelegt:TBSCertificate :: = SEQUENCE { version [0] EXPLICIT Version DEFAULT v1, serialNumber CertificateSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL extensions [3] EXPLICIT Extensions OPTIONAL }
Format des X.500-DistinguishedNames:Name ::= CHOICE { RDNSequence } RDNSequence ::= SEQUENCE OF RelativeDistinguishedName RelativeDistinghuishedName ::= SET OF AttributeTypeAndValue AttributeTypeAndValue ::= SEQUENCE { AttributeType, AttributeValue } AttributeType ::= OBJECT IDENTIFIER AttributeValue ::= ANY DEFINED BY AttributeType Infos zu den Extensions nach x.509v3Was sind eigentlich Zertifikatserweiterungen (Extensions)?Extensions sind im Prinzip frei definierbare Felder in einem X.509-Zertifikat. Jeder Zertifikatsaussteller kann sich im Rahmen gewisser Formatvorschriften zusätzliche Informationen ins Zertifikat (Extensions) einbringen. Extensions sind ab der Version 3 im X.509-Zertifikat zugelassen. Damit die Software die Extensions richtig auswerten kann, muss die Versionsnummer des Zertifikats auf 3 gesetzt werden (intern 0, 1 oder 2). Existieren bereits Extensions?Es gibt schon vordefinierte Standard- und Private-Extensions bei denen noch unter den Critical und Non-Critical Typen unterschieden wird. Als Critical gesetzte Extensions müssen in jedem Fall von der Software ausgewertet werden. Ist dies nicht möglich, darf das Zertifikat nicht verwendet werden. Non-Critical Extensions können aber müssen nicht unbedingt berücksichtigt werden. Achtung: Wenn Du eigene CriticalExtensions definierst, wird jede andere Software Dein Zertifikat mit einem Fehler zurückweisen. In der Regel solltest Du Extensions immer als Non-Critical definieren, damit auch andere Programme Dein Zertifikat verarbeiten können. Wenn Ihr euch mal ein X.509-Zertifikat in verschiedenen Versionen (1, 2 oder 3) ansehen wollt, könnt Ihr unter Windows95/98/NT unter dem Menüpunkt Start->Einstellungen->Systemsteuerung->Internetoptionen->Inhalt->Zertifikate euch ein paar Zertifikate mit verschiedenen Extensions betrachten. Folgende Tabelle gibt einen Überblick über die vordefinieten Extensions, die in dieser Form nicht nochmals definiert werden dürfen:
Telesec-Information (Draft) zu SigG und PKS IIDie Telesec stellt hier 2 Draft-Dokumente zum Thema Zertifikatsformate im Zertifizierungsbereich PKS II bzw. Zertifikatesformate im Zertifizierungsbereich Signaturgesetz (SigG) zur Verfügung. Die beiden Dokumente kannst Du Dir als WinWord-DOC-Datei downloaden. |
