español certificate pki x509

certificate - español - ¿Qué significa "sujeto" en un certificado?



rfc 5280 español (4)

El sujeto del certificado es la entidad con la que está asociada su clave pública (es decir, el "propietario" del certificado).

Como dice el RFC 5280 :

El campo del sujeto identifica la entidad asociada con la clave pública almacenada en el campo de la clave pública del sujeto. El nombre del sujeto PUEDE llevarse en el campo del sujeto y / o la extensión subjectAltName.

Los certificados X.509 tienen un campo Asunto (nombre distinguido) y también pueden tener varios nombres en la extensión de Nombre alternativo del sujeto.

El DN del sujeto se compone de múltiples nombres distinguidos relativos (RDN) (ellos mismos están hechos de valores de aserción de atributo ) como "CN = nombre de usuario" u "O = organización".

En el contexto del artículo al que se está vinculando, el sujeto sería el usuario / propietario del certificado.

El enlace relacionado es este artículo de MSDN .

Siempre estoy confundido acerca del término "asunto", por ejemplo, opción sk "Especifica la ubicación del contenedor de claves del sujeto", opción sr "Especifica la ubicación del almacén de certificados del sujeto". ¿Qué significa exactamente materia aquí? ¿El titular del certificado? ¿El emisor del certificado (por ejemplo, la CA raíz que emite el certificado)? ¿O algo mas?

El sujeto es el nombre común del certificado y es una propiedad crítica para el certificado en muchos casos si es un certificado de servidor y los clientes están buscando una identificación positiva.

Como ejemplo de un certificado SSL para un sitio web, el sujeto sería el nombre de dominio del sitio web.

El sujeto, en seguridad, es lo que se está asegurando. En este caso, podría ser un correo electrónico de personas o un sitio web o una máquina.

Si tomamos el ejemplo de un correo electrónico, digamos mi correo electrónico, entonces el contenedor de claves de asunto sería la ubicación protegida que contiene mi clave privada.

El almacén de certificados generalmente se refiere al almacén de certificados de Microsoft que contiene certificados de raíces de confianza, máquinas en la red, personas, etc. En mi caso, el almacén de certificados de los sujetos sería el lugar, dentro de esta tienda, con mis certificados.

Si está trabajando dentro de un dominio de Microsoft, el nombre del sujeto contendrá invariablemente el Nombre distinguido del sujeto, que es la forma en que el dominio hace referencia al sujeto y lo guarda en su directorio. por ejemplo, CN = Mark Sutton, OU = Desarrolladores, O = Mycompany C = UK

Para mirar sus certificados en una máquina de microsoft: -

Inicie sesión mientras ejecuta> mmc Seleccione Archivo> agregar / eliminar complemento y seleccione certificados, luego seleccione mi cuenta de usuario, haga clic en Finalizar y luego en Cerrar. Busca en el área personal de la tienda.

En las otras áreas de la tienda, verá los otros certificados de confianza utilizados para validar firmas, etc.

Mi expectativa típica es que cuando "sujeto" se usa en un contexto como este, significa el objetivo del certificado. Si piensa que un certificado es una descripción criptográfica segura de una cosa (persona, dispositivo, canal de comunicación, etc.), entonces el tema son las cosas relacionadas con esa cosa .

No es la cosa en sí. Por ejemplo, nadie diría que "el sujeto toma su tarjeta inteligente y autentica su PIN". Ese sería el "usuario".

Pero generalmente se relaciona con los diversos elementos de datos relacionados con esa cosa. Por ejemplo:

  • Asunto DN = Nombre distinguido del sujeto = el identificador único para lo que es esta cosa. Incluye información sobre lo que se está certificando, incluido el nombre común, organización, unidad de organización, códigos de país, etc.
  • Clave del sujeto = parte (o todo) del par de claves privada / pública del certificado. Si viene del certificado, es la clave pública. Si proviene de un almacén de claves en una ubicación segura, probablemente sea la clave privada. Cualquiera de las partes de la clave son los datos criptográficos utilizados por la cosa que recibió el certificado.
  • Certificado del sujeto : el punto final de la transacción: esto es lo que solicita cierta capacidad segura, como la verificación de integridad, autenticación, privacidad, etc.

Por lo general, se usa para distinguir a los otros jugadores en el mundo de PKI. Es decir, el "emisor" y la "raíz". El emisor es la CA que emitió el certificado (para el sujeto) y la raíz es la CA que es el punto final de toda la confianza en la jerarquía. La relación típica es raíz ---> emisor ---> sujeto.