企业社会责任签署过程需要澄清的问题

Question

除了以下内容之外，关于证书签名过程的深入信息似乎不多：

• 密钥管理互操作性协议使用指南1.2版 (PDF)
• RFC 2986 - PKCS #10:认证请求语法规范，版本1.7

下面是我创建的CSR示例：

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

我在certlogik.com中粘贴了上面的内容，并查看了输出。

如果我正确理解它，4个组件将组成CertificationRequestInfo：

1. 版本
2. 主题
3. 公钥信息
4. 属性

我假设使用SHA1或SHA2，然后对CertificationRequestInfo进行散列处理，并使用创建CSR的计算机的私钥加密哈希输出。

当它到达CA时，CA接受CertificationRequestInfo并在其上运行一个散列。然后，它还获取加密的值，并尝试使用CSR中的公钥对其进行解密。如果哈希输出与解密哈希输出匹配，则CA将签署CSR。

如果我弄错了，请纠正我。此时，我对CA实际签名的数据感到困惑( CA散列，然后加密该哈希)。

Answer 1

对企业社会责任进行有效性检查。如果它是有效的，那么旧的签名将被删除，并生成一个新的证书。

新证书的内容如下：

• 来自CSR的信息(加上一些字段的添加/更改/删除)。无论你的CA感觉如何都是最好的。)
• 通常有一些基本的约束(比如语句：“我在这里签名的是(或者不是)应该是CA本身的”)。
• 关于谁在签名的信息。
• 然后签名本身。

所有要签署的作品组成一套。这个集合被称为"TBSCertificate“。

和TBSCertificate +签名-部分构成了什么，然后被称为“证书”。

RFC 5280将其分解如下：

Certificate  ::=  SEQUENCE  {
    tbsCertificate       TBSCertificate,
    signatureAlgorithm   AlgorithmIdentifier,
    signatureValue       BIT STRING  }

TBSCertificate  ::=  SEQUENCE  {
    version         [0]  EXPLICIT Version DEFAULT v1,
    serialNumber         CertificateSerialNumber,
    signature            AlgorithmIdentifier,
    issuer               Name,
    validity             Validity,
    subject              Name,
    subjectPublicKeyInfo SubjectPublicKeyInfo,
    issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                         -- If present, version MUST be v2 or v3

    subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
                         -- If present, version MUST be v2 or v3
    extensions      [3]  EXPLICIT Extensions OPTIONAL
                         -- If present, version MUST be v3
    }

有一篇很好的博客文章更深入地介绍了证书中的内容和实际内容：摩根·西蒙森，2013-04-16，了解X.509数字证书指纹 (存档在这里)