11- amaliy ish
Mavzu: OpenSSL kutubxonasidan foydalangan holda X.509
sertifikatini hosil qilish.
Ishdan maqsad: X.509 sertifikatini hosil qilish va sertifikat bo’yicha bilim
ko’nikmaga ega bo’lish.
Nazariy qism
X.509
sertifikati.
Kriptografiyada
X.509
standarti
ochiq
kalitli
infratuzilmalar (public key infrastructure (PKI)) va imtiyozga asoslangan boshqarish
infratuzilmalari (Privilege Management Infrastructure (PMI)) uchun mo‘ljallangan.
Ushbu protokol ko‘plab Internet protokollari, xususan, HTTPS uchun asos bo‘lgan
SSL/TLS protokolida veb brauzerda xavfsiz kanalni qurishda foydalaniladi. Bundan
tashqari
u offlayn ilovalarda, masalan, elektron raqamli imzoda foydalaniladi.
Ushbu sertifikat ochiq kalit, identifikatorlar (uzel nomi, organizasiya yoki tashkilot
nomi), sertifikat bergan tashkilot nomi va imzosi yoki o‘zi imzolaganligini
tasdiqlovchi ma'lumotlardan iborat. Ushbu sertifikat ishonchli tashkilot tomonidan
imzolanganda yoki boshqa vositalar orqali tasdiqlanganda, ushbu sertifikatni olgan
odam undagi ochiq kalit bilan ikkinchi tomon bilan aloqa o‘rnatishi mumkin yoki
shaxsiy kalit bilan imzolangan imzoni ushbu ochiq kalit
bilan tekshirish mumkin
bo‘ladi. X.509 standarti asosidagi sertifikatlar odatda tijoriy tashkilotlar yoki
ularning offislari va ochiq holda generatsiya qilinishi mumkin.
Bundan tashqari
ushbu sertifikatda, sertifikatni amal qilish muddati va unda qanday algoritmlardan
foydalanilganligi qayd etiladi.
X.509 sertifikati International Telecommunications Union standartlash
bo‘limi tomonidan aniqlangan va ASN.1 (Abstract Syntax Notation One) interfeysni
ifodalash tiliga asoslangan.
Ushbu sertifikat 1988 yil 3 iyulda yaratilgan va X.500 standarti to‘plamiga
kiritilgan. Sertifikatni olish uchun tashkilot quyidagi
ketma-ketlikdagi amallarni
bajaradi.
Talabgor o‘ziga tegishli bo‘lgan raqamli sertifikatni olishi uchun CSR
(
certificate signing request) so‘rovini sertifikatni berish markaziga (
certificate
authority) yuboradi. CSR ni generatsiya qilishdan oldin
talabgor dastlab kalit
juftlarini generatsiya qiladi va maxfiy kalitni sir saqlaydi. CSR so‘rovi talabgorning
ochiq kalit ma'lumoti, identifikator ma'lumotlari (masalan, domen nomi) va butunlik
himoyasi (masalan, raqamli imzo) dan iborat bo‘ladi. CSR uchun eng ko‘p
foydalanilgan format bu -
PKCS #10 va ba'zi veb brauzerlar tomonidan generatsiya
qilinadigan
SPKAC (Signed Public Key and Challenge) formatlaridir.
Talabgor CSR so‘rovini imzolovchi tashkilot ham dastlab kalit juftlarini generatsiya
qiladi va CSRni imzolashda foydalaniladigan maxfiy kalitni sir tutadi. CSR so‘rovi
imzolovchi tashkilot tomonidan imzolangandan so‘ng, imzo, imzo algoritmi va o‘zi
haqidagi ma'lumotlarni qo‘shib X.509 sertifikatini hosil qiladi.
Imzolovchi tashkilotlarning ishonchli root sertifikatlari barcha ishchi
tizimlarda (masalan, brauzerlarda) uzatiladi.
Brauzerlarda, masalan, Internet
Explorer, Firefox, Opera, Safari va Chromeda ushbu
root sertifikatlar oldindan
o‘rnatilgan bo‘ladi. X.509 v3 sertifikatining tuzulishi quyidagicha:
− Certificate
− Version (versiya)
− Serial Number (serial raqami)
− Algorithm ID (algoritm ID si)
− Issuer (sertifikat beruvchi tashkilot, emitent)
− Validity (amal qilsih muddati)
− Not Before
− Not After
− Subject (sertifikat oluvchi tashkilot, istemolchi)
− Subject Public Key Info (istemolchi ochiq kalit ma’lumoti)
− Public Key Algorithm (ochiq kalit algoritmi)
− Subject Public Key (ochiq kalit)
− Issuer Unique Identifier (optional) (emitetning takrorlanmas identifikatori)
− Subject Unique Identifier (optional) (istemolchining
takrorlanmas
identifikatori)