解密x509證書格式，深入剖析它的結構和特點

一、什麼是x509證書

x509證書是一種數字證書，它用於驗證服務端或客戶端的身份。 x509證書通常包含證書主題、有效期、公鑰、簽名等信息。其主要目的是確保服務端或客戶端之間通訊的安全性和合法性。

在現代互聯網中，x509證書被廣泛使用。常見的應用場景包括HTTPS、SSH、SSL和VPN等。

二、x509證書的結構

x509證書由許多不同類型的欄位組成，包括版本號、頒發者信息、主題信息、公鑰信息、有效期和簽名等。

1.版本號

x509證書包含一個版本號欄位，它指明了證書的版本信息。目前最常用的版本號是3。早期的版本號包括0和1，但現在已經不再使用。

2.頒發者信息和主題信息

x509證書中頒發者信息和主題信息是兩個非常重要的欄位，它們說明了證書的頒發者和證書所代表的主題（通常是證書的擁有者）信息。

頒發者信息和主題信息通常採用X.500格式，包括國家、組織、單位、部門、郵箱、姓名等信息。例如：

  
    X509Name issuer = cert.getIssuerX500Principal().getName();
    X509Name subject = cert.getSubjectX500Principal().getName();
  

3.公鑰信息

x509證書中的公鑰信息指示了證書所對應的公鑰。這個公鑰通常是用來加密和解密信息、數字簽名、或者用來協商對稱加密密鑰。

公鑰信息包括公鑰演算法，以及公鑰值（Modulus和Exponent）。例如：

  PublicKey key = cert.getPublicKey();
  String algorithm = key.getAlgorithm();
  byte[] encoded = key.getEncoded(); //獲取DER編碼的公鑰

4.有效期

x509證書包括一個有效期的欄位，該欄位指示了證書的有效時間。證書中的有效期包括兩個日期：證書的起始日期和截止日期。一旦證書到期，它就不再被認為是有效的。

有效期一般採用ASN.1中的GENERALIZEDTIME格式，例如：

  Date notBefore = cert.getNotBefore(); //獲取證書起始日期
  Date notAfter = cert.getNotAfter();  //獲取證書截止日期

5.簽名

x509證書中的最後一個欄位是簽名欄位。簽名欄位是由頒發者所簽署的，確保由頒發者簽署的信息是保真和完整的。簽名包括演算法和簽名值。

通過以下代碼可以獲取證書的簽名信息：

  byte[] signature = cert.getSignature();
  String algorithm = cert.getSigAlgName();

三、x509證書的編碼格式

x509證書可以以多種不同的編碼格式進行存儲和傳輸。常見的編碼格式包括ASCII、DER和PEM格式。

1.ASCII格式

ASCII編碼是一種文本編碼，它將每個位元組轉換為ASCII字元。x509證書可以保存為ASCII編碼格式，以適合在閱讀器或終端窗口中查看。ASCII格式的證書通常不帶有擴展名。

2.DER格式

DER（Distinguished Encoding Rules，可譯為”專用編碼規則”）是ASN.1數據結構標準的一個規則集，用於將結構化數據編碼為二進位格式。

x509證書可以以DER編碼格式進行存儲和傳輸。DER編碼證書是二進位格式，不適合直接在終端窗口中查看。DER編碼證書通常附有擴展名為”.DER”或”.CER”。

3.PEM格式

PEM（Privacy-Enhanced Mail）是一種基於ASN.1的文本格式，適用於各種數據類型，包括證書、密鑰以及其他密鑰管理協議中使用的數據。PEM格式通過將ASN.1格式數據轉換為文本形式來實現可讀性。x509證書可以保存為PEM編碼格式。

PEM編碼格式實際上是基於DER編碼證書進行壓縮編碼所得到的。PEM編碼證書的文件擴展名通常為”.pem”或”.crt”。

四、示例代碼

下面是一個Java代碼示例，用於載入和解析x509證書，並顯示證書各部分的信息：

  import java.io.FileInputStream;
  import java.security.cert.CertificateFactory;
  import java.security.cert.X509Certificate;

  public class X509CertificateParser {
      public static void main(String[] args) throws Exception {
          FileInputStream is = new FileInputStream("path/to/certificate.crt");
          CertificateFactory cf = CertificateFactory.getInstance("X.509");
          X509Certificate cert = (X509Certificate) cf.generateCertificate(is);

          System.out.println("Version: " + cert.getVersion());
          System.out.println("Subject: " + cert.getSubjectDN());
          System.out.println("Issuer: " + cert.getIssuerDN());
          System.out.println("Valid from: " + cert.getNotBefore());
          System.out.println("Valid to: " + cert.getNotAfter());
          System.out.println("Serial number: " + cert.getSerialNumber());

          PublicKey key = cert.getPublicKey();
          System.out.println("Public key algorithm: " + key.getAlgorithm());
          System.out.println("Public key format: " + key.getFormat());

      }
  }

通過運行上面的代碼，可以在控制台上列印出證書的版本、主題、頒發者、有效期、序列號和公鑰信息。