X.509

X.509는 암호학에서 공개키 인증서와 인증알고리즘의 표준 가운데에서 공개 키 기반(PKI)의 ITU-T 표준이다.

Categories

• OpenSSL:X509

인증서

X.509 시스템에서 CA는 X.500 규약에 따라 서로 구별되는 공개키를 가진 인증서를 발행한다.

한 조직의 인증된 루트 인증서는 그 PKI 시스템을 사용하는 모든 직원들에 분배될 수 있다. 인터넷 익스플로러나 모질라, 오페라와 같은 브라우저는 SSL 인증서라 불리는 미리 설치된 루트 인증서가있다. 사용자가 이 루트 인증서를 제거하거나 사용중지할 수도 있기는 하지만, 거의 그러지는 않는다.

X.509는 또한 CRL (certificate revocation list) 구현을 위한 표준도 포함한다. IETF에서 승인된 인증서 유효성 점검 방법은 OCSP(Online Certificate Status Protocol)이다.

인증서의 구조

X.509 v3의 디지털 인증서의 구조는 아래와 같다.

• Certificate
  • Version 인증서의 버전을 나타냄
  • Serial Number CA가 할당한 정수로 된 고유 번호
  • Algorithm ID
  • Issuer
  • Validity
    • Not Before
    • Not After
  • Subject
  • Subject Public Key Info
    • Public Key Algorithm
    • Subject Public Key
  • Issuer Unique Identifier (Optional)
  • Subject Unique Identifier (Optional)
  • Extensions (Optional)
    • ...*Certificate Signature Algorithm
• Certificate Signature

인증서 파일 확장자

X.509 인증서의 확장자는 다음과 같다:

• .CER: CER 암호화 된 인증서. 복수의 인증서도 가능.
• .DER: DER 암호화 된 인증서.
• .PEM: (Privacy Enhanced Mail) Base64로 암호화 된 인증서. "-----BEGIN CERTIFICATE-----"와 "-----END CERTIFICATE-----" 가운데에 들어간다.
• .P7B: .p7c 참조.
• .P7C: PKCS#7 서명 자료 구조(자료는 제외), 인증서이거나 CRL(복수도 가능).
• .PFX: .p12 참조.
• .P12: PKCS#12 공개 인증서와 암호로 보호되는 개인 키를 가질 수 있다(복수도 가능).

신뢰할수 있는 루트 인증서 등록 하는 법

OpenSSL:X509#신뢰할수 있는 루트 인증서 등록 하는 법 항목 참조.

Favorite site

• Wikipedia (en) X.509에 대한 설명
• k8s 인증 완벽이해 #1 - X.509 Client Certs | 커피고래의 노트 ¹

References