Lesen und Analysieren eines Clientzertifikats

  • Artikel
  • 3 Minuten Lesedauer

In diesem Artikel wird erläutert, wie Sie einige der interessanten Features eines Zertifikats lesen. Für den Fall, dass Sie den Inhalt einer Zertifikatdatei analysieren müssen, lesen Sie die Tools zum Erstellen, Anzeigen und Verwalten von Zertifikaten.

Ursprüngliche Produktversion:   Internetinformationsdienste
Ursprüngliche KB-Nummer:   216831

Zertifikatsdatei

Nachdem Sie den Inhalt eines Zertifikats gespeichert haben, haben Sie eine Datei, die wie folgt aussieht:

PKCS7 Message Certificates:
================ Begin Nesting Level 1 ================
X509 Certificate:
Version: 3
Serial Number: 25f51e4e0000115a
Signature Algorithm:
  Algorithm ObjectId: 1.2.840.113549.1.1.4
  Algorithm Parameters:
05 00 ..
Issuer: CN=MS CertSrv Test Group CA, OU=Windows NT, O=Microsoft, L=Redmond, S=WA, C=US
NotBefore: 10/23/1998 3:33 PM
NotAfter: 10/23/1999 3:33 PM
Subject: CN=Name (Signing), OU=IASG, O=Microsoft, L=Redmond,
         S=WA, C=US, E=name@domain.com
Public Key Algorithm:
  Algorithm ObjectId: 1.2.840.113549.1.1.1
  Algorithm Parameters:
05 00 ..
PublicKey: UnusedBits=0
30 48 02 41 00 d4 c1 0e 6f 0b 86 54 b8 9b 08 de 0H.A....o..T....
41 87 b5 e8 62 83 a6 42 a6 63 de 5a 9e cc 17 f6 A...b..B.c.Z....
72 95 52 1f 56 7a 95 ad 33 f0 8e c2 e8 c6 d4 95 r.R.Vz..3.......
0d ce c4 7a 1a f3 10 28 ca 15 46 4e 48 52 8c 89 ...z...(..FNHR..
87 f8 5d 0d 1b 02 03 01 00 01 ..].......
Certificate Extensions: 6
  2.5.29.15: Flags = 0(), Length = 4
     Key Usage
     Digital Signature, Key Encipherment, Data Encipherment, Key Agreement(B8)
 2.5.29.37: Flags = 0(), Length = c
     Enhanced Key Usage
         Client Authentication(1.3.6.1.5.5.7.3.2)

2.5.29.35: Flags = 0(), Length = a9
 Authority Key Identifier
     KeyID=2A58 2026 5B9F CFB1 E328 F42A EA4D F8CA 19CB F3C4
     Certificate Issuer: Directory Address:
             CN=MS CertSrv Test Group CA
             OU=Windows NT
             O=Microsoft
             L=Redmond
             S=WA
             C=US
     Certificate SerialNumber=1113 6100 AA00 2B86 11D2 5EF8 DDA0 99B4

2.5.29.31: Flags = 0(), Length = 91
    CRL Distribution Points
    [1]CRL Distribution Point Distribution Point Name:
    Full Name:
    URL=http://CERTSRV/CertSrv/CertEnroll/MS CertSrv Test Group CA.crl
    [2]CRL Distribution Point Distribution Point Name:
    Full Name:
    URL=file://\\CERTSRV\CertSrv\CertEnroll\MS CertSrv Test Group CA.crl
2.5.29.19: Flags = 0(), Length = 2
    Basic Constraints
        Subject Type=End Entity Path Length Constraint=None
1.3.6.1.5.5.7.1.1: Flags = 0(), Length = 56
    Authority Information Access
        [1]Authority Info Access
    AccessMethod=Certification Authority Issuer(1.3.6.1.5.5.7.48.2)
    Alternative Name:
    URL=http://CERTSRV/CertSrv/CertEnroll/CERTSRV_MS CertSrv Test Group CA.crt
Non-root Certificate

Hinweis

Dieses Zertifikat wird so geändert, dass es in dieses Fenster passt.

Analysieren des Zertifikats

Einige der interessanten Teile des Zertifikats umfassen Folgendes:

  • PKCS7-Nachricht

    PKCS ist ein Nachrichtenformat für kryptografische Nachrichten, die von RSA entwickelt wurden. Weitere Informationen finden Sie auf der RSA Security-Website.

  • X509-Zertifikat

    Dies ist das Standardformat eines Zertifikats.

  • Version

    Version 3.0 ist die aktuelle Version.

  • Seriennummer

    Dies ist eine eindeutige Zahl für die Entität, die das Zertifikat ausgestellt hat.

    Hinweis

    Es ist möglich, dass zwei Aussteller dieselbe Seriennummer verwenden, aber es ist selten.

  • Signaturalgorithmus

    Die ObjectID oder OID ist eine Zahl, die unter anderem verwendet wird, um einen Algorithmus, eine Anwendung, einen Textteiltyp, einen Zeichensatz, einen externen Parameter oder einen Nachrichtentyp zu definieren. In diesem Beispiel bedeutet 1.2.840.113549.1.1.4 den MD5-Hashalgorithmus. Sie können eine Liste kryptobezogener OIDs aus der WinCrypt.h Headerdatei abrufen, die mit VC++ ausgeliefert wird.

  • Aussteller

    Es ist die Entität, die das Zertifikat erstellt hat.

  • NotBefore/NotAfter

    Dies ist der Datumsbereich, in dem das Zertifikat gültig ist.

  • Betreff

    Wer gehört dieses Zertifikat?

  • Algorithmus für öffentliche Schlüssel

    1.2.840.113549.1.1.1 bedeutet, dass der öffentliche Schlüssel mithilfe des RSA-Algorithmus generiert wurde.

  • Öffentlicher Schlüssel

    Dies sind die tatsächlichen Daten, auf die sich dieses Zertifikat konzentriert. es ist der öffentliche Schlüssel selbst.

  • Zertifikaterweiterungen

    Diese sind optional, und nur Zertifikate der Version 3.0 unterstützen sie. Dazu gehören die Schlüsselverwendung (wofür kann der öffentliche Schlüssel verwendet werden?), die erweiterte Schlüsselverwendung (ähnlich der vorherigen), der Autoritätsschlüsselbezeichner (vom Aussteller zum Identifizieren dieses Zertifikats verwendete Daten), der CRL-Verteilungspunkt (wo Informationen dazu gefunden werden können, ob dieses Zertifikat widerrufen wurde oder nicht).