证书结构

Question

大多数签名证书占用空间都是 20 字节长（Windows 证书管理器中的“占用空间”字段）。

这怎么可能是发证（认证）机构签署的值呢？具体来说，证书的签名应该是由私钥签名的证书字段的哈希值，因此至少具有颁发者私钥的 RSA 模数长度（在 RSA 签名的情况下），因此......至少 512 位（64 字节）长。

我一定缺少一些东西......如果这个足迹只是一个散列，那么它不能是一个签名的证书。证书签名实际上在哪里？无法通过简单的哈希检查证书是否有效。

问候， 苹果92

Answer 1

您指的是“指纹”吗?指纹只是一个哈希值，仅用于方便查找证书以进行比较。它不是证书本身的一部分，它是由证书管理器从证书生成的。证书签名位于证书内部。

证书本身由身份信息和公钥组成，结构称为 TBSCertificate （TBS 是 To Be Signed 的缩写），加上签名算法和签名本身。请参阅 RFC5280 了解所有详细信息。

Answer 2

您可以通过 Windows 中的证书管理器查看指纹，它不是证书的一部分。它由证书管理器动态生成，以便于识别它管理的许多证书。

证书由三部分组成。 （详细信息参见 https://www.rfc-editor.org/rfc/ rfc5280#section-4.1)

• tbsCertificate：包含主题和颁发者的名称、与主题相关的公钥、有效期等。这个 tbsCertificate（又名要签名的证书）是颁发者（ CA) 审查并签字。
• SignatureAlgorithm：颁发者（CA）用于签署上述 tbsCertificate 的加密算法的标识符。算法各不相同。最常见的算法之一是对 tbsCertificate（DER 格式）进行哈希处理以生成摘要，然后由颁发者 (CA) 的私钥对其进行编码。结果存储在下一个字段 signatureValue 中。
• signatureValue：此字段由发行者 (CA) 使用上面的 signatureAlgorithm 生成的结果值填充。

颁发者（CA）构建上述证书结构的行为称为签名。