X.509

出典: フリー百科事典『ウィキペディア（Wikipedia）』

暗号において、X.509とは、ITU-TのPKIの規格である。X.509は、公開鍵証明書の標準形式や証明書パス検証アルゴリズムなどを定めている。

目次 1 歴史 2 証明書 2.1 証明書の構造 2.2 証明書ファイルの拡張子 3 X.509証明書の例 4 セキュリティー 5 認証局 6 公開鍵インフラ (X.509) ワーキング・グループ 7 参照 8 X.509証明書関連のプロトコル、標準 9 参考文献 10 外部リンク

[編集] 歴史

[編集] 証明書

[編集] 証明書の構造

X.509 v3 デジタル証明書 の構造は、次のとおり。

• 証明書
  • バージョン
  • 通し番号
  • アルゴリズムID
  • 発行者
  • 有効期間
    • 開始
    • 満了
  • 主体者
  • 主体者の公開鍵情報
    • 公開鍵アルゴリズム
    • 主体者の公開鍵
  • 発行者の一意な識別子 (予備)
  • 主体者の一意な識別子 (予備)
  • 拡張 (予備)
    • ...
• 証明書の署名アルゴリズム
• 証明書の署名

発行者、主体者の一意な識別子はVersion 2で、拡張はVersion 3で、導入された。

[編集] 証明書ファイルの拡張子

ありきたりなX.509証明書の拡張子は、次のとおり。

• .CER - CER で符号化された証明書、ときによっては証明書群の列
• .DER - DER で符号化された証明書
• .PEM - Base64 で符号化された証明書で、「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」で囲まれている
• .P7B - .p7c参照
• .P7C - 被署名データのない PKCS#7 のSignedData構造で、証明書 (群) やCRL (群) がある
• .PFX - .p12参照
• .P12 - (公開鍵や、パスワードで保護された) 私有鍵を含む PKCS#12

PKCS #7 は、署名済みや暗号化済みのデータ (公式には「"enveloping" data」) の標準だ。 署名されたデータの検証に証明書が必要なので、SignedData構造に含まれる場合があるのだ。 .P7Cファイルは、署名されるべきデータをもたないという、縮退したSignedData構造だ。

PFX (Personal inFormation eXchange) 標準から発展した PKCS #12 は、単一ファイルでの公開鍵と私有鍵の交換に使われる。

.PEMファイルは、証明書や私有鍵を含むことがあり、このときBEGINとEND (とCERTIFICATEやRSA PRIVATE KEYの組合せ) の行で囲まれている。

[編集] X.509証明書の例

[編集] セキュリティー

[編集] 認証局

[編集] 公開鍵インフラ (X.509) ワーキング・グループ

[編集] 参照

• デジタル証明書
• デジタル署名
• 公開鍵
• 公開鍵基盤 (PKI)
• 認証局 (CA)
• Pretty Good Privacy (PGP)
• 証明書ポリシー
• オンライン証明書検証プロトコル (OCSP)
• CRL

[編集] X.509証明書関連のプロトコル、標準

• Transport Layer Security (TLS/SSL)
• S/MIME
• IPsec
• SSH
• スマートカード
• HTTPS
• Extensible Authentication Protocol
• LDAP
• Trusted Computing Group (TNC TPM NGSCB)
• CableLabs (North American Cable Industry Technology Forum)
• WS-Security

[編集] 参考文献

• [ITU-T Recommendation X.509][1] (2005): Information Technology - Open Systems Interconnection - The Directory: Authentication Framework, 08/05.
• Housley, R., W. Ford, W. Polk and D. Solo, "Internet X.509 Public Key Infrastructure: Certificate and CRL Profile", RFC 2459, January 1999.
• Housley, R., W. Ford, W. Polk and D. Solo, "Internet X.509 Public Key Infrastructure: Certificate and CRL Profile", RFC 3280, April 2002.
• Arjen Lenstra, Xiaoyun Wang and Benne de Weger, On the possibility of constructing meaningful hash collisions for public keys, full version, with an appendix on colliding X.509 certificates, 2005 [2] (see also [3]).

[編集] 外部リンク

• Peter Gutmannの X.509スタイル・ガイド
• PKIXのサイト
• CAcert.org - 無料のデジタル証明書