RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

Veröffentlichungsdatum: Mai 2008
Status: Standards Track Protocol
Autoren: D. Cooper (NIST), S. Santesson (Microsoft), S. Farrell (Trinity College Dublin), S. Boeyen (Entrust), R. Housley (Vigil Security), W. Polk (NIST)
Ersetzt: RFC 3280, RFC 4325, RFC 4630

---

Zusammenfassung (Abstract)

Dieses Dokument definiert das Profil für X.509 v3-Zertifikate und X.509 v2-Zertifikatsperrlisten (Certificate Revocation List, CRL) zur Verwendung im Internet. Eine Übersicht über diesen Ansatz und dieses Modell wird als Einführung bereitgestellt. Das X.509 v3-Zertifikatsformat wird detailliert beschrieben, mit zusätzlichen Informationen zum Format und zur Semantik von Internet-Namensformen. Standard-Zertifikatserweiterungen werden beschrieben und zwei internetspezifische Erweiterungen definiert. Ein Satz erforderlicher Zertifikatserweiterungen wird spezifiziert. Das X.509 v2 CRL-Format wird zusammen mit Standard- und internetspezifischen Erweiterungen detailliert beschrieben. Ein Algorithmus zur X.509-Zertifizierungspfadvalidierung wird beschrieben. Ein ASN.1-Modul und Beispiele werden in den Anhängen bereitgestellt.

---

Inhaltsverzeichnis (Table of Contents)

Hauptabschnitte

• 1. Introduction (Einführung)
• 2. Requirements and Assumptions (Anforderungen und Annahmen)
  • 2.1 Communication and Topology (Kommunikation und Topologie)
  • 2.2 Acceptability Criteria (Akzeptanzkriterien)
  • 2.3 User Expectations (Benutzererwartungen)
  • 2.4 Administrator Expectations (Administratorerwartungen)
• 3. Overview of Approach (Übersicht über den Ansatz)
  • 3.1 X.509 Version 3 Certificate (X.509 Version 3-Zertifikat)
  • 3.2 Certification Paths and Trust (Zertifizierungspfade und Vertrauen)
  • 3.3 Revocation (Sperrung)
  • 3.4 Operational Protocols (Betriebsprotokolle)
  • 3.5 Management Protocols (Verwaltungsprotokolle)
• 4. Certificate and Certificate Extensions Profile (Zertifikat- und Zertifikatserweiterungsprofil)
  • 4.1 Basic Certificate Fields (Grundlegende Zertifikatsfelder)
  • 4.2 Certificate Extensions (Zertifikatserweiterungen)
• 5. CRL and CRL Extensions Profile (CRL- und CRL-Erweiterungsprofil)
  • 5.1 CRL Fields (CRL-Felder)
  • 5.2 CRL Extensions (CRL-Erweiterungen)
  • 5.3 CRL Entry Extensions (CRL-Eintrags-Erweiterungen)
• 6. Certification Path Validation (Zertifizierungspfadvalidierung)
  • 6.1 Basic Path Validation (Grundlegende Pfadvalidierung)
  • 6.2 Using the Path Validation Algorithm (Verwendung des Pfadvalidierungsalgorithmus)
  • 6.3 CRL Validation (CRL-Validierung)
• 7. Processing Rules for Internationalized Names (Verarbeitungsregeln für internationalisierte Namen)
  • 7.1 Internationalized Names in Distinguished Names (Internationalisierte Namen in Distinguished Names)
  • 7.2 Internationalized Domain Names in GeneralName (Internationalisierte Domainnamen in GeneralName)
  • 7.3 Internationalized Domain Names in Distinguished Names (Internationalisierte Domainnamen in Distinguished Names)
  • 7.4 Internationalized Resource Identifiers (Internationalisierte Ressourcen-Identifikatoren)
  • 7.5 Internationalized Electronic Mail Addresses (Internationalisierte E-Mail-Adressen)
• 8. Security Considerations (Sicherheitsüberlegungen)
• 9. IANA Considerations (IANA-Überlegungen)
• 10. Acknowledgments (Danksagungen)
• 11. References (Referenzen)
  • 11.1 Normative References (Normative Referenzen)
  • 11.2 Informative References (Informative Referenzen)

Anhänge (Appendices)

• Appendix A. Pseudo-ASN.1 Structures and OIDs (Pseudo-ASN.1-Strukturen und OIDs)
  • A.1 Explicitly Tagged Module, 1988 Syntax (Explizit getaggtes Modul, 1988-Syntax)
  • A.2 Implicitly Tagged Module, 1988 Syntax (Implizit getaggtes Modul, 1988-Syntax)
• Appendix B. ASN.1 Notes (ASN.1-Hinweise)
• Appendix C. Examples (Beispiele)
  • C.1 RSA Self-Signed Certificate (RSA-selbstsigniertes Zertifikat)
  • C.2 End Entity Certificate Using RSA (Endentitätszertifikat mit RSA)
  • C.3 End Entity Certificate Using DSA (Endentitätszertifikat mit DSA)
  • C.4 Certificate Revocation List (Zertifikatsperrliste)

---

Verwandte Ressourcen

• Offizieller Text: RFC 5280
• Offizielle Seite: RFC 5280 DataTracker
• Errata: RFC Editor Errata
• Aktualisiert durch: RFC 6818, RFC 8398, RFC 8399

---

Übersicht über Schlüsselkonzepte

Was ist ein X.509-Zertifikat?

Ein X.509-Zertifikat ist ein digitales Dokument, das zur Identitätsnachweis und zum Aufbau sicherer Kommunikation im Internet verwendet wird. Es bildet die Grundlage für Technologien wie HTTPS, TLS/SSL, Code-Signierung und E-Mail-Verschlüsselung.

Kernfunktionen:

• Identitätsüberprüfung: Beweist „wer Sie sind"
• Verteilung öffentlicher Schlüssel: Verteilt öffentliche Schlüssel sicher
• Vertrauenskette: Stellt Vertrauen durch Zertifizierungsstellen (Certificate Authority, CA) her

Grundlegende Zertifikatsstruktur

Certificate ::= SEQUENCE {
   tbsCertificate       TBSCertificate,
   signatureAlgorithm   AlgorithmIdentifier,
   signatureValue       BIT STRING
}

Schlüsselfelder:

• Version: Zertifikatsversion (v1, v2, v3)
• Serial Number (Seriennummer): Eindeutige Kennung, die von der CA vergeben wird
• Signature Algorithm (Signaturalgorithmus): Algorithmus zum Signieren des Zertifikats
• Issuer (Aussteller): DN der Entität, die das Zertifikat signiert hat
• Validity (Gültigkeit): Zeitraum, in dem das Zertifikat gültig ist
• Subject (Subjekt): DN der mit dem öffentlichen Schlüssel verbundenen Entität
• Subject Public Key Info (Öffentliche Schlüsselinformation des Subjekts): Öffentlicher Schlüssel und Algorithmuskennung
• Extensions (Erweiterungen): Zusätzliche Informationen (nur v3)

---