签写证书的实体的 X.500 名称。它通常为一个 CA。 使用该证书意味着信任签写该证书的实体(注意:有些情况下(例如根或顶层 CA 证书),
签发人会签写自己的证书)。
每个证书均只能在一个有限的时间段内有效。该有效期以起始日期和时间及终止日期和时间表示,可以短至几秒或长至一世纪。所选有效期取决于许多因素,例如用于签写证书的
私钥的使用频率及愿为证书支付的金钱等。它是在没有危及相关私钥的条件下,实体可以依赖
公钥值的预计时间。
证书可以识别其
公钥的实体名。此名称使用 X.500 标准,因此在Internet中应是唯一的。它是实体的特征名 (DN),例如,
这是被命名实体的
公钥,同时包括指定该
密钥所属公钥密码系统的算法标识符及所有相关的密钥参数。
X.509 1 版自 1988 年起有售,已得到广泛使用,是最常用的版本。
X.509 2 版引入了主体和签发人唯一标识符的概念,以解决主体和/或签发人名称在一段时间后可能重复使用的问题。大多数证书监视文档都极力建议不要重复使用主体或签发人名称,而且建议证书不要使用唯一
标识符。版本 2 证书尚未得到广泛使用。
X.509 3 版是最新的版本(1996 年)。它支持扩展的概念,因此任何人均可定义扩展并将其纳入证书中。现在常用的扩展包括:KeyUsage(仅限
密钥用于特殊目的,例如“只签”)和 AlternativeNames(允许其它标识与该
公钥关联,例如 DNS 名、
电子邮件地址、IP 地址)。扩展可标记为“极重要”,以表示应选中该扩展并强制执行或使用。例如,如果某一证书将 KeyUsage 扩展标记为“极重要”,而且设置为“keyCertSign”,则在 SSL 通信期间该证书出现时将被拒绝,因为该证书扩展表示相关
私钥应只用于签写证书,而不应该用于 SSL。
证书中的所有数据均用两个名为
ASN.1/DER 的相关标准进行编码。
抽象语法注释 1 (Abstract Syntax Notation 1) 对数据进行描述。确定性编码规则 (DER) 描述储存和传输数据的唯一方式。既有人称这一组合“强大而灵活”,也有人称之为“含混而笨拙”。