Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.3.1         Standard X.509 a položky certifikátu

Pokud jde o obsah certifikátu jako takového, pak všechny certifikáty, o kterých se v této knížce zmiňujeme, vychází z mezinárodního standardu X.509 (který vydala Mezinárodní telekomunikační unie, ITU). Tento standard se přitom týká jak zde popisovaných certifikátů s veřejným klíčem, tak třeba i formátu seznamů CRL.

Standard X.509 například definuje to, jaké konkrétní položky má každý certifikát obsahovat. Ukažme si to na malém (a neúplném) příkladu, i s obsahem položek konkrétního osobního certifikátu:

Jméno položky

Český překlad  jména položky[5]

Význam položky

Příklad hodnoty

Version

Verze

verze standardu X.509

3

Serial Number

Sériové číslo

sériové číslo certifikátu u jeho vydavatele

261802

 

Signature algorithm

Algoritmus podpisu

jaký algoritmus má být použit pro el. podpis

Sha256RSA

Issuer

Vystavitel

jméno certifikační autority, která certifikát vystavila

CN=PostSignum Qualified CA,O=Česká pošta, s.p. [IČ 47114983],C=CZ

 

Valid not before

Platnost od

od jakého okamžiku začíná řádná platnost certifikátu

Fri Jan 15 10:18:48 CET 2010

 

Valid not after

Platnost do

k jakému okamžiku končí řádná platnost certifikátu

Sat Jan 15 09:28:00 CET 2011

 

Subject

 

Předmět (subjekt certifikátu)

komu byl certifikát vystaven

SerialNumber=P135491,

CN=RNDr. Ing. Jiří Peterka,

OU=P135491,C=CZ

 

Certificate Policies

Zásady certifikátu

další informace o certifikátu a jeho statutu

displayText: Tento kvalifikovany certifikat byl vydan podle zakona 227/2000Sb. a navaznych predpisu./This qualified certificate was issued according to Law No 227/2000Coll. and related regulations

 

CRLDistributionPoints

Distribuční místa seznamu odvolaných certifikátů

URL místa, kde lze nalézt seznam odvolaných (revokovaných) certifikátů)

URL=http://www.postsignum.cz/crl/

psqualifiedca.crl

KeyUsage

Použití klíče

K jakým účelům lze použít klíče, ke kterým se certifikát vztahuje

digitalSignature | nonRepudiation | keyEncipherment

 

 

Každý certifikát, vycházející  ze standardu X.509, tedy obsahuje řadu zajímavých údajů. Samozřejmě zde najdeme takové údaje, jako kdy začíná a kdy končí řádná platnost certifikátu (položky Valid not before, not after).

Již zde ale nenajdeme informaci o tom, že daný certifikát byl odvolán, a že jeho řádná platnost tudíž skončila předčasně. Důvody jsme si popsali v části 3.4, kde jsme si také uvedli, že informaci o případné revokaci je třeba hledat u vydavatele certifikátu (certifikační autority). Kde konkrétně, udává položka CRLDistributionPoints.

Velmi důležité jsou i položky, které popisují druh certifikátu: v předchozím příkladu je v položce „Certificate Policies“ explicitně uvedeno, že se jedná o kvalifikovaný certifikát (a tím o osobní kvalifikovaný certifikát). V případě kvalifikovaného systémového certifikátu bychom ve stejné položce našli explicitní konstatování, že jde o kvalifikovaný systémový certifikát. Připomeňme si ale, že naopak to neplatí: pokud nějaký certifikát není kvalifikovaný, nenajdeme v něm žádnou explicitní informaci typu „tento certifikát není kvalifikovaný“.

S typem certifikátu souvisí i vymezení toho, k čemu je možné certifikát využít. Přesněji: k čemu je možné využít soukromý klíč, ke kterému se certifikát vztahuje (viz část 4.3.1). To vyjadřuje položka „KeyUsage“.

Velmi důležitým údajem je také údaj o vystaviteli certifikátu (Issuer): zde je uvedeno jméno příslušné certifikační autority. Právě tento údaj je pro nás vodítkem k posuzování důvěryhodnosti certifikátu. Závazné jsou nicméně jiné položky (viz část  3.5.2).

A snad nejdůležitější je položka „Subject“ (v české lokalizaci buď Subjekt, nebo Předmět), která vypovídá o tom, komu byl certifikát vystaven, resp. kdo je jeho držitel. Tím pádem i o tom, kdo je podepsanou osobou (pokud hodnotíme něčí podpis, založený na daném certifikátu).


[5] Nejde o oficiální překlad, ale o překlad používaný v českých verzích operačního systému MS Windows.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61