X.509 인증서 프로파일

X509 인증서 구조

X509 인증서 프로파일

Authority Key Identifier
발급자가 복수의 전자서명키를 가지고 있을 때, 공개키를 구분하기 위한 목적
키식별자(일반적으로 발급자 공개키 해쉬값), 발급자명, 발급자 인증서 일련번호로 구성

Subject Key Identifier
특정 공개키를 포함하는 인증서를 구분하기 위한 목적
CA 인증서인 경우, 해당 소유자에 의해 발급되는 인증서의 AKI 확장필드의 키식별자값과 동일
키식별자(일반적으로 소유자 공개키 해쉬값)로 구성

Key Usage
인증서와 연관된 공개키쌍의 사용목적을 정의함
일반적으로 공개키쌍의 사용 용도를 제한하기 위한 목적
전자서명, 부인봉쇄, 키전송, 데이터암호화, 키공유, 인증서서명, CRL서명, 키공유시 암호화 수행, 키공유시 복호화 수행 용도

Extended Key Usage
인증서와 연관된 공개키쌍의 추가적인 사용목적을 정의함
keyUsage의 확장개념
서버인증, 클라이언트인증 (SSL 인증서에서 주로 사용), 코드사인, 이메일보안, 타임스탬프, OCSP 서명, 기타 정의된 용도

Private Key Usage Period
전자서명생성키의 유효기간이 인증서에 포함된 전자서명검증키의 유효기간과 다른 경우 이를 표시함
일반적으로 전자서명생성키의 유효기간이 전자서명검증키의 유효기간보다 짧음

Certificate Policies
최종가입자인증서: 해당 인증서의 사용목적과 발행정책
CA인증서: 자신을 포함하는 인증경로 정책집합의 제한
인증경로 검증에 가장 중요한 요소로 활용

Policy Mappings
쌍을 이루는 두 인증서 정책이 서로 동등함을 나타냄
인증서비스 영역간의 상호 인증시 상대방 인증서비스 영역의 인증서 정책을 받아들이고자 하는 경우에 사용됨
CA인증서에만 사용할 수 있으며 국내 기술규격에서는 최상위인증기관인증서에만 사용할 수 있도록 함

CRL Distribution Points
인증서의 상태정보를 확인하기 위하여 인증서 효력정지 및 폐지목록을 사용하는 경우에 이를 획득할 수 있는 디렉토리 서버의 위치 정보를 표시

Authority Information Access
인증서의 발급자에 해당하는 CA의 정보를 획득하기 위한 정보를 표시함
OCSP 서비스를 위한 경로

Subject Alternative Name
인증서 소유자의 추가적인 명칭 표기
식별번호를 이용한 본인확인 기술규격에 의해 인증서 소유자의 실명과 본인확인 정보가 본 필드에 포함됨

Issuer Alternative Name
CA인증서의 추가적인 명칭 표기

Basic Constraint
CA인증서 여부를 확인하고 CA 인증서 인 경우 인증경로의 길이를 제한함

Policy Constraint
인증서정책 검사 요구 및 인증서정책 매핑에 대한 금지 등에 대한 정보

Name Constraint
소유자명 및 소유자 대체 명칭 확장필드에 사용되는 명칭의 범위 제한

X.509 인증서 ASN.1 Syntax

*RFC 3280 문서내에서 인증서 ASN.1 의 주요 부분
RFC 3280 에서 X.509 Certificate ASN.1 Syntax 의 일부분이다.

Certificate  ::=  SEQUENCE  {
     tbsCertificate       TBSCertificate,
     signatureAlgorithm   AlgorithmIdentifier,
     signature            BIT STRING  }

TBSCertificate  ::=  SEQUENCE  {
     version         [0]  Version DEFAULT v1,
     serialNumber         CertificateSerialNumber,
     signature            AlgorithmIdentifier,
     issuer               Name,
     validity             Validity,
     subject              Name,
     subjectPublicKeyInfo SubjectPublicKeyInfo,
     issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3
     subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3
     extensions      [3]  Extensions OPTIONAL
                          -- If present, version MUST be v3 --  }

Version  ::=  INTEGER  {  v1(0), v2(1), v3(2)  }

CertificateSerialNumber  ::=  INTEGER

Validity ::= SEQUENCE {
     notBefore      Time,
     notAfter       Time  }

Time ::= CHOICE {
     utcTime        UTCTime,
     generalTime    GeneralizedTime }

UniqueIdentifier  ::=  BIT STRING




Housley, et. al.            Standards Track                    [Page 97]

RFC 3280        Internet X.509 Public Key Infrastructure      April 2002


SubjectPublicKeyInfo  ::=  SEQUENCE  {
     algorithm            AlgorithmIdentifier,
     subjectPublicKey     BIT STRING  }

Extensions  ::=  SEQUENCE SIZE (1..MAX) OF Extension

Extension  ::=  SEQUENCE  {
     extnID      OBJECT IDENTIFIER,
     critical    BOOLEAN DEFAULT FALSE,
     extnValue   OCTET STRING  }

* 인증서 BER 인코딩 예제 값 보기