A kriptográfiában a nyilvános kulcs tanúsítvány olyan dokumentum, ami digitális aláírás segítségével egy fizikai azonossághoz kapcsol egy nyilvános kulcsot. Ezeket a tanúsítványokat gyakran digitális tanúsítványnak vagy ügyféloldali digitális tanúsítványnak nevezik. A digitális tanúsítványok legáltalánosabb szabványa az X.509 szabvány.
A nyilvános kulcsot használó titkosításnál minden tanúsítványhoz két kulcs tartozik, egy nyilvános kulcs és egy privát kulcs. A nyilvános kulcs az X.509 tanúsítvány része, és mindig rendelkezésre áll magával a tanúsítvánnyal. A privát kulcs mindig privát marad (soha nem továbbítja a rendszer). A hordozhatóság megkönnyítésére a két kulcs (és a tanúsítvány) egybecsomagolható a PKCS#12 nevű titkosított és jelszóvédett formátumban.
A tanúsítvány hitelességének azonosítása céljából azt digitálisan a tanúsítványhatóság (CA) tanúsítványa írja alá. A CA tanúsítványát létrehozhatja egy biztonságos alkalmazásnak tárhelyet adó vállalat, vagy létrehozhatja egy vállalat, például a Verisign.
Amikor egy webalkalmazásnak digitális tanúsítványra van szüksége, akkor egy adminisztrátor jellemzően minden felhatalmazott felhasználó számára digitális tanúsítványt hoz létre. Az adminisztrátor digitálisan aláír minden tanúsítványt a rendszer CA tanúsítvánnyal. A felhasználók megkapják ezek a tanúsítványokat a nyilvános és privát kulcsokkal együtt. Ezek a kulcsok gyakran PKCS#12 formátumban vannak terjesztve. A felhasználók beimportálhatják a tanúsítványokat a webböngészőjükbe. Amikor a kiszolgáló egy böngészőtől kéri, az bemutatja a tanúsítványát.
Webalkalmazások tanúsítványainak importálásakor válassza ki azt a jelölőnégyzetet, ami jelzi, hogy a kulcsok exportálhatók. Ezzel a jelzéssel a tanúsítványok PKCS#12 formátumú fájlba exportálhatók, hogy azt később más programok felhasználhassák.
Teljesítménytesztelési célból ne használjon olyan tanúsítványokat, amelyek tényleges felhasználókhoz tartoznak. Ténylege felhasználóknak nem megfelelő tanúsítványokat használjon.
A saját aláírású tanúsítványok akkor használatosak, ha nincs olyan entitás, aminek garantálnia kell a tanúsítvány hitelességét. Ezek a legegyszerűbben létrehozható és használható tanúsítványok. Jellemzőben azonban az aláírt tanúsítvány egy adott felhasználót képvisel.
Az aláírt tanúsítványok akkor használatosak, ha egy tanúsítványt kell létrehozni és kiadni egyetlen felhasználó számára. Az aláírt tanúsítványokat egy tanúsítványhatóság (CA) írja alá.
A tanúsítványhatóság (CA) tanúsítványai tanúsítványok aláírására (tanúsítására) használt saját aláírású tanúsítványok.
Az aláírás nélküli tanúsítványok se CA, se saját aláírással nem rendelkező tanúsítványok. A legtöbb webalkalmazás nem használ aláírás nélküli tanúsítványokat.
Saját aláírású vagy aláírt tanúsítvány (beleértve a CA tanúsítványokat is) létrehozásakor megadhat egy tárgyat. A tanúsítvány tárgya a tanúsítványba kódolt X.500 megkülönböztetett név attribútumcsoportja. A tárgy teszi lehetővé, hogy a tanúsítvány címzettje láthassa a tanúsítvány tulajdonosának információit. A tárgy leírja a tanúsítvány tulajdonosát, de nem feltétlenül egyedi. A tárgyakra gondolhatunk egy telefonkönyv bejegyzéseiként, több bejegyzés lehet Patel Agrawal tárggyal, de mindegyik másik személyre hivatkozik.
A tárgy sok különböző azonosító adatot tartalmazhat. A tárgy jellemzően a következőkből áll:
Attribútum | Példa |
---|---|
ÁLTALÁNOS NÉV (CN) | CN=Patel Agrawal |
SZERVEZET (O) | O=IBM Corporation |
SZERVEZETI EGYSÉG (OU) | OU=IBM Software Group |
ORSZÁG (C) | C=IN |
HELYSÉG (L) | L=Bangalore |
ÁLLAM vagy TARTOMÁNY (ST) | ST=Kanataka |
E-MAIL CÍM (emailAddress) | emailAddress=agrawal@abc.ibm.com |
Ezek az adatok beírhatók egyetlen karakterláncként, osztásjelet használva az adatok elválasztására.
Például a fenti tárgyat a következőképp kell beírni:
/CN=Patel Agrawal/O=IBM Corporation/OU=IBM Software Group/C=IN/L=Bangalore/ST=Karnataka/emailAddress=agrawal@abc.ibm.com
A biztosított parancssori program tanúsítványok létrehozására történő használatáról további információkat itt talál: Digitális tanúsítványtároló létrehozása.