Tweet
Khi triển khai Public Key Infrastructure (PKI), một tiêu chuẩn quan trọng mà mọi người cần nắm rõ là X.509. Đây là chuẩn do ITU-T đưa ra, định nghĩa định dạng chứng chỉ số (digital certificate) và cơ chế xác thực chứng chỉ.
Để hỗ trợ việc chuẩn hóa và ứng dụng X.509 trong thực tế, IETF đã thành lập nhóm làm việc PKIX (Public Key Infrastructure using X.509).
Hiện nay, chứng chỉ số X.509 phiên bản 3 (X.509v3) là phiên bản được sử dụng rộng rãi nhất. Cấu trúc của nó bao gồm nhiều trường thông tin quan trọng:
Cách hoạt động của chữ ký số trong chứng chỉ:
Điểm mấu chốt:
Câu hỏi ôn tập
Câu 1: Khi sử dụng PKI, hai phát biểu nào là đúng?
Đáp án đúng: (1) và (3).
Câu 2: Có 5 thành phần nào thuộc chuẩn X.509v3 certificate?
Đáp án đúng: Serial number, Issuer, Validity date range, Subject, Subject public key info.
👉 Đây là kiến thức nền tảng rất quan trọng trong bảo mật, VPN, xác thực người dùng và thiết bị. Anh em mới bắt đầu với PKI, SSL/TLS, Azure AD Certificate Services hay AWS ACM cần nắm chắc chuẩn X.509v3 trước khi đi vào triển khai thực tế.
Để hỗ trợ việc chuẩn hóa và ứng dụng X.509 trong thực tế, IETF đã thành lập nhóm làm việc PKIX (Public Key Infrastructure using X.509).
Hiện nay, chứng chỉ số X.509 phiên bản 3 (X.509v3) là phiên bản được sử dụng rộng rãi nhất. Cấu trúc của nó bao gồm nhiều trường thông tin quan trọng:
- Version: Phiên bản của chứng chỉ (hiện tại là v3).
- Serial number: Số sê-ri duy nhất để nhận diện chứng chỉ.
- Algorithm ID: Thuật toán dùng để ký chứng chỉ.
- Issuer: Thông tin về tổ chức phát hành chứng chỉ (Certificate Authority – CA).
- Validity: Thời gian hiệu lực của chứng chỉ, bao gồm Not Before và Not After.
- Subject: Thông tin về thực thể được cấp chứng chỉ (user, server, thiết bị…).
- Subject public key info: Bao gồm thuật toán và khóa công khai của subject.
- Issuer unique identifier / Subject unique identifier (optional): Trường tùy chọn.
- Extensions (optional): Mở rộng cho các mục đích đặc thù (ví dụ SAN – Subject Alternative Name).
- Certificate signature algorithm: Thuật toán dùng để tạo chữ ký số.
- Certificate signature: Chữ ký số do CA tạo ra.
Cách hoạt động của chữ ký số trong chứng chỉ:
- CA băm toàn bộ dữ liệu chứng chỉ bằng thuật toán hash (SHA-256 chẳng hạn).
- CA mã hóa giá trị hash này bằng private key của nó để tạo chữ ký số.
- Chữ ký số được gắn vào chứng chỉ và phân phối cho client.
- Khi một hệ thống muốn kiểm tra chứng chỉ, nó sẽ:
- Tự tính toán lại hash từ dữ liệu chứng chỉ.
- Giải mã chữ ký bằng public key của CA.
- So sánh kết quả: nếu khớp → chứng chỉ hợp lệ.
Điểm mấu chốt:
- Client phải tin tưởng CA thì mới chấp nhận chứng chỉ của các thiết bị/người dùng mà CA đó phát hành.
- CA trực tiếp ký chứng chỉ cho user/device, không chỉ ký cho riêng root certificate.
Câu hỏi ôn tập
Câu 1: Khi sử dụng PKI, hai phát biểu nào là đúng?
- Hiện tại chứng chỉ số PKI sử dụng cấu trúc X.509 phiên bản 3.
- Kiến trúc PKI yêu cầu client luôn duy trì kết nối liên tục với CA để tin tưởng chứng chỉ.
- Một client phải tin tưởng CA thì mới xác thực được chứng chỉ của thiết bị khác do cùng CA phát hành.
- CA không ký chứng chỉ của user/device, mà chỉ ký root certificate.
Đáp án đúng: (1) và (3).
Câu 2: Có 5 thành phần nào thuộc chuẩn X.509v3 certificate?
- Serial number
- Username
- Issuer
- Validity date range
- Subject
- Subject public key info
- Department name
Đáp án đúng: Serial number, Issuer, Validity date range, Subject, Subject public key info.
👉 Đây là kiến thức nền tảng rất quan trọng trong bảo mật, VPN, xác thực người dùng và thiết bị. Anh em mới bắt đầu với PKI, SSL/TLS, Azure AD Certificate Services hay AWS ACM cần nắm chắc chuẩn X.509v3 trước khi đi vào triển khai thực tế.
Attached Files