Leer y analizar un certificado de cliente

  • Artículo
  • Tiempo de lectura: 3 minutos

En este artículo se presenta cómo leer algunas de las características interesantes de un certificado. En caso de que necesite analizar el contenido de un archivo de certificado, vea Herramientas para crear, ver y administrar certificados.

Versión del producto original:   Internet Information Services
Número KB original:   216831

Archivo de certificado

Después de volcar el contenido de un certificado, tendrá un archivo similar al siguiente:

PKCS7 Message Certificates:
================ Begin Nesting Level 1 ================
X509 Certificate:
Version: 3
Serial Number: 25f51e4e0000115a
Signature Algorithm:
  Algorithm ObjectId: 1.2.840.113549.1.1.4
  Algorithm Parameters:
05 00 ..
Issuer: CN=MS CertSrv Test Group CA, OU=Windows NT, O=Microsoft, L=Redmond, S=WA, C=US
NotBefore: 10/23/1998 3:33 PM
NotAfter: 10/23/1999 3:33 PM
Subject: CN=Name (Signing), OU=IASG, O=Microsoft, L=Redmond,
         S=WA, C=US, E=name@domain.com
Public Key Algorithm:
  Algorithm ObjectId: 1.2.840.113549.1.1.1
  Algorithm Parameters:
05 00 ..
PublicKey: UnusedBits=0
30 48 02 41 00 d4 c1 0e 6f 0b 86 54 b8 9b 08 de 0H.A....o..T....
41 87 b5 e8 62 83 a6 42 a6 63 de 5a 9e cc 17 f6 A...b..B.c.Z....
72 95 52 1f 56 7a 95 ad 33 f0 8e c2 e8 c6 d4 95 r.R.Vz..3.......
0d ce c4 7a 1a f3 10 28 ca 15 46 4e 48 52 8c 89 ...z...(..FNHR..
87 f8 5d 0d 1b 02 03 01 00 01 ..].......
Certificate Extensions: 6
  2.5.29.15: Flags = 0(), Length = 4
     Key Usage
     Digital Signature, Key Encipherment, Data Encipherment, Key Agreement(B8)
 2.5.29.37: Flags = 0(), Length = c
     Enhanced Key Usage
         Client Authentication(1.3.6.1.5.5.7.3.2)

2.5.29.35: Flags = 0(), Length = a9
 Authority Key Identifier
     KeyID=2A58 2026 5B9F CFB1 E328 F42A EA4D F8CA 19CB F3C4
     Certificate Issuer: Directory Address:
             CN=MS CertSrv Test Group CA
             OU=Windows NT
             O=Microsoft
             L=Redmond
             S=WA
             C=US
     Certificate SerialNumber=1113 6100 AA00 2B86 11D2 5EF8 DDA0 99B4

2.5.29.31: Flags = 0(), Length = 91
    CRL Distribution Points
    [1]CRL Distribution Point Distribution Point Name:
    Full Name:
    URL=http://CERTSRV/CertSrv/CertEnroll/MS CertSrv Test Group CA.crl
    [2]CRL Distribution Point Distribution Point Name:
    Full Name:
    URL=file://\\CERTSRV\CertSrv\CertEnroll\MS CertSrv Test Group CA.crl
2.5.29.19: Flags = 0(), Length = 2
    Basic Constraints
        Subject Type=End Entity Path Length Constraint=None
1.3.6.1.5.5.7.1.1: Flags = 0(), Length = 56
    Authority Information Access
        [1]Authority Info Access
    AccessMethod=Certification Authority Issuer(1.3.6.1.5.5.7.48.2)
    Alternative Name:
    URL=http://CERTSRV/CertSrv/CertEnroll/CERTSRV_MS CertSrv Test Group CA.crt
Non-root Certificate

Nota

Este certificado se modifica para que se ajuste a esta ventana.

Analizar el certificado

Algunas de las partes interesantes del certificado son las siguientes:

  • Mensaje pkcs7

    PKCS es un formato de mensaje para mensajes criptográficos diseñados por RSA. Para obtener más información, vea RSA Security Web site.

  • Certificado X509

    Este es el formato estándar de un certificado.

  • Versión

    La versión 3.0 es la versión actual.

  • Número de serie

    Este es un número único de la entidad que emitió el certificado.

    Nota

    Es posible que dos emisores usen el mismo número de serie, pero es raro.

  • Algoritmo de firma

    ObjectID o OID es un número que se usa para definir un algoritmo, una aplicación, un tipo de parte del cuerpo, un juego de caracteres, un parámetro externo o un tipo de mensaje, entre otras cosas. En este ejemplo, 1.2.840.113549.1.1.4 significa el algoritmo hash MD5. Puede obtener una lista de LOSI relacionados con criptografía desde el archivo de encabezado WinCrypt.h que se incluye con VC++.

  • Emisor

    Es la entidad que creó el certificado.

  • NotBefore/NotAfter

    Este es el intervalo de fechas en el que el certificado es válido.

  • Subject

    Quién¿pertenece este certificado?

  • Algoritmo de clave pública

    1.2.840.113549.1.1 significa que la clave pública se generó mediante el algoritmo RSA.

  • Clave pública

    Estos son los datos reales alrededor de los que se centra este certificado; es la clave pública en sí.

  • Extensiones de certificado

    Estos son opcionales y solo los admiten los certificados de la versión 3.0. Incluyen uso de clave (¿para qué se puede usar la clave pública?), Uso mejorado de clave (similar al anterior), Identificador de clave de autoridad (datos usados por el emisor para identificar este certificado), Punto de distribución CRL (donde encontrar información sobre si este certificado se ha revocado o no).