C Country 国家
L locality 城市
O organization 组织，公司
OU organizationalUnit 组织部门
CN commonName 一般名字
ST stateOrProvince 省份
emailAddress 邮箱地址

Views: 40

CMP协义中私钥和证书是要加密传输的，但是CMP所用的传输协议并不要求加密，所以CMP专门定义敏感信息的加密方式。

CMP V2

CMP V2中使用EncryptedValue结构来加密，通常是使用CA的RSA公钥来加密内容,这就导致所有的CA证书都是用RSA签名的，因为用其它签名算法会导致不能使用CMP或其它兼容性问题。
EncryptedValue数据结构，由PKCS#11 v2.11版本12.11节定义。PKCS#11 v2.11中只提到了可以用一个密码对私钥进行包装，并没有提到密码的来源。在PKCS#11 v2.40中定义了CKM_RSA_AES_KEY_WRAP和CKM_ECDH_AES_KEY_WRAP两种包装机制，分别使用RSA公钥和ECDH派生密钥再结合AES来包装私钥。对于CKM_ECDH_AES_KEY_WRAP机制现实中应该很少有工具实现，而且CMPV2发布时还没有定义CKM_ECDH_AES_KEY_WRAP。这就导致CA证书只能使用RSA签名，带来了不少兼容性问题。

PKCS#11 3.1:
https://docs.oasis-open.org/pkcs11/pkcs11-spec/v3.1/os/pkcs11-spec-v3.1-os.html
PKCS#11 2.11:
https://www.cryptsoft.com/pkcs11doc/v211/

CMP V3

CMP V3中使用EnvelopedData结构加密，Enveloped-data结构是在CMS标准中定义的。
RFC 3370定义了Ephemeral-Static Diffie-Hellman，Static-Static Diffie-Hellman,RSA算法的用于CMS的EnvelopedData
RFC 5753定义了ephemeral-static ECDH, ephemeral-static ECDH,1-Pass ECMQV算法的用于CMS的EnvelopedData
RFC 8418定义了X25519,X448算法的用于CMS的EnvelopedData
RFC 5652定义Cryptographic Message Syntax，其中定义了Enveloped-data数据结构。CMS由PKCS #7 1。5演进而来.
CMP V3中指定了3种方法：
* recipient’s certificate with an algorithm identifier and a public
key that supports key transport and where any given key usage
extension allows keyEncipherment: The content-encryption key will
be protected using the key transport key management technique, as
specified in Section 6.2.1 of CMS [RFC5652].

• recipient’s certificate with an algorithm identifier and a public
  key that supports key agreement and where any given key usage
  extension allows keyAgreement: The content-encryption key will be
  protected using the key agreement key management technique, as
  specified in Section 6.2.2 of CMS [RFC5652].

• a password or shared secret: The content-encryption key will be
  protected using the password-based key management technique, as
  specified in Section 6.2.4 of CMS [RFC5652].
  翻译过来分别是具有keyEncipherment标志位证书，具体keyAgreement标志位的证书，密码加密。
  目前据我所知nist,secp,brainpool系列的曲线支持digitalSignature和keyAgreement，SM2支持所有三种用途，ed25519/448仅支持digitalSignature，x25519/448仅支持keyAgreement，cruve25519这种把digitalSignature和keyAgreement分开的设计使其不适合用于CA证书。通过ECIES可以让支持keyAgreement的ECC都支持keyEncipherment，其实SM2加密时也是一种特殊的ECIES(X9.63标准)。目前支持ECIES的加密程序库并不多,只有bouncy castle,crypto++支持，也就是用ECC算法实现keyEncipherment还不太现实。

其实所有的加密方案都不是由CMP定义的，面是直接使用了其它标准中的机制。

参考：
https://webstore.ansi.org/preview-pages/ASCX9/preview_ANSI+X9.63-2001.pdf
https://webstore.ansi.org/preview-pages/ASCX9/preview_ANSI+X9.63-2011+(R2017).pdf
https://csrc.nist.gov/CSRC/media/Events/Key-Management-Workshop-2000/documents/x963_overview.pdf

Views: 22

• 支持cmp的CA服务器

ejbca

• 支持secp的CA服务器

ejbca(java开发),Smallstep商业版(go开发)，Dogtag PKI(java开发)，OpenXPKI(perl开发)

• 支持EST的CA服务器

OpenXPKI,ejbca商业版,Dogtag PKI

• 支持ACME的CA服务器

OpenXPKI,ejbca社区版,Dogtag PKI,Smallstep社区版

华为防火墙只支持CMP协议，支持CMP的CA服务器太少了

Dogtag PKI似乎不提供Web介面,支持ACME,SECP,EST协议,基于nss库(https://wiki.mozilla.org/NSS)
OpenXPKI提供完整的Web介面,不同的角色都可以使用Web进行操作，而且100%开源,基于OpenSSL，如果不考虑CMP支持是个不错的选择。
EJBCA提供了管理员和RA角色的Web界面，可以支持所有证书协议(商业版),社会版本只支持CMP和SCEP两种协议，基于bouncycastle。bouncycstle支持的算法：https://www.bouncycastle.org/documentation/specification_interoperability/#algorithms-and-key-types
Smallstep目前只有管理员Web介面，因为是go开发比较轻量，如果要求比较简单，只需要ACME协议可以考虑smallstep。使用go自带的crypto/tls提供加密算法。

下载地址：
https://github.com/Keyfactor/ejbca-ce
https://github.com/smallstep/certificates
https://github.com/dogtagpki/pki
https://github.com/openxpki/openxpki

Views: 21

证书4要素

pubkey（公钥） ，有一个其一一对应的私钥，由证书拥有者保存。
subject（名字），可以理解为证书的名字，你可以理解为 网站的域名。
issuer（颁发者的名字），即上级证书的subject。
signature（签名） ，上级证书使用私钥对当前证书进行签名的值。

证书签名

假设 有 3 级 证书

首先 ，R1 CA证书 是由 R1证书签发，而www.taobao.com是由R1 CA证书签发。

签发过程核心就是签名，比如 签发R1 CA证书时，拿R1证书的私钥对R1 CA证书进行数字签名操作，签名的值添加在R1 CA证书中。同理签发www.taobao.com这张证书，是用 R1 CA证书的私钥对该证书进行数字签名，签名值添加在www.taobao.com的证书中。

被数字签名的值，是该证书的HASH。举个例子当 使用 R1证书加签R1 CA时，其签名值是 R1_privatekey_sign( HASH(R1 CA) )。

数字证书校验

由于 私钥签名的数据，可以使用公钥校验，假设我们信任R1 + R1 CA证书，我们收到www.taobao.com这个证书，如何校验？

首先，构造证书链，即 拿 server的证书然后和本地（操作系统或者浏览器内置）的可信证书进行上级证书的查找，一般通issuer字段查找（还有通过keyid的方式，这里不讨论），比如 www.taobao.com的证书的issuer是R1 CA，那么在本地仓库里面找R1 CA，接着找R1 CA的上级证书，直到找到最高一级的证书，即R1证书。

第二步，光靠名字来找上级是不够的，因为名字可以伪造，我们还需要对证书的签名值进行校验，我们知道，私钥签名的数据可以使用公钥来校验，所以，首先拿R1 CA证书的的公钥，去解开 www.taobao.com签名值，然后校验其值是否是www.taobao.com的hash，同理可以验证证书链中R1是否是R1 CA的上级证书。 签名校验成功，表明了2点
1：上下级关系正确
2：证书被未篡改，如果证书被篡改，使用上级证书的公钥解开当前证书后，会发现其值和当前证书的HASH值不一样

交叉证书

如果一个CA机构有如下2个受信的链：

那么又 R1 CA签发的证书只能由R1+R1 CA进行验证；视同 R3 CA签发的证书只能由R3+R3 CA进行签发。

但是有些客户端只有R1和R1 CA而没有R3以及R3 CA，而有些客户端只有R3和R3 CA而没有R1 以及 R1 CA ，我们能不能让证书有2条可以用来验证的链呢? 比如 www.taobao.com->…->R1 是一条证书链， www.taobao.com->…->R3 也算一条证书链，这样假设有些客户端只信任R1或者R3也能同时验证同一个证书。

为了达到这个目的，我们需要做这么一个操作，就是 使用 R1 对 R3进行签名生成一张叫做 R1-R3 的证书（即使用R1的私钥对R3进行签名）。

注意，R1-R3 拥有和 R3一模一样的 subject+公钥，和R3唯一的区别就是 R3是自签名证书，其issuer是R3自己，而 R1-R3 是中间证书，其issuer是R1。

接着，使用 R1-R3 来对 签发 www.taobao.com ，即 www.taobao.com 的 issuer 是R3（上面说了，issuer就是个字符串，和上级证书的subject一样，而R1-R3 这张证书的subject就是R3），这张 R1-R3 就是所谓的交叉证书corss-certificate。

www.taobao.com 这样的证书，如何能让只信任R1的客户端进行验证：

1、构造证书链
服务器发送 www.taobao.com + R1 R3，客户端构造证书链，自然，通过找 www.taobao.com 的issuer:R3，在server发送的证书中找到了 R1 R3这张证书 ，通过 R1 R3 的issuer:R1，在本地找到了R1。
2、验证证书链
略，通上节一致，通过上级证书的公钥验证当前证书的签名值。

www.taobao.com 这样的证书，如何能让只信任R3的客户端进行验证：

1、构造证书链
服务器发送 www.taobao.com ，客户端构造证书链，自然，通过找 www.taobao.com 的issuer:R3，在本地找到了受信的R3 ，R3是根证书，证书链构造完成。

2、验证证书链
虽然，实际上 www.taobao.com 的证书是由 R1 R3这张证书签名的，但是上面说过，R1 R3这张证书的公钥和R3一样，也就意味着使用R1 R3的公钥，能够验证 www.taobao.com的签名值。

结尾

实际上，使用R1-R3对 www.taobao.com签名的效果，和使用R3对 www.taobao.com签名的效果是一模一样的，因为R1-R3和 R3拥有相同的subject以及公钥，自然拥有相同的私钥。

说的通俗一点，就是CA机构通过欺骗的方式，签了一张交叉证书，这张证书能够让客户端的证书链引导到R1。

交叉证书有什么作用？

1、兼容老设备。假设，老的客户端只支持R1根证书，但是我们的证书是R3是签名的，那需server发送交叉证书，来“引导”客户端使用R1校验。

2、CA机构合并，假设R1 收购了R3，R1为了“收回最终校验权”，可以生成这么一个交叉证书，那么使用R3签名的证书，最后都被R1来校验。

由以上可知交叉证书的关键是把Root CA2的自签名证书改为用另一机构的RootCA1来签名，RootCA1成为了RootCA2的上级CA。

转自：https://developer.aliyun.com/article/703706

Views: 12

OpenGPG是由RFC4880定义的，相对X.509来说是一个简易的，离线使用的公钥证书。

GPG中使用user id来代表签名的实体，相当于X.509中的DN。
生成GPG证书时会生成一个主证书，相当于自签名的Root CA和若干由主证书签名的子证书。主证书只用于对子证书进行签名，实际加密时使用子证书。
GPG定义了以下证书用途(相当于KeyUsage)
Encryption：加密(E)。
Signing：签名(S)。
Certification：认证其他子密钥或 uid(C)。
Authentication：身份认证，例如用于 SSH 登录(A)。
GPG可以支持对称加密和信封加密，信封加密时用证书生成监时对称密钥。
GPG证书也可以对别人的证书进行签名，提供共识认证。
目前GPG主要用于文件的加密和签名。

参考：
https://datatracker.ietf.org/doc/html/rfc4880

Views: 17

X.509公钥证书

X.509最初由ITU-T用于X500目录服务中，对X.500实体的身份进行验证，所以X.509使用了一些X500中的元素。
后来IETF PKIX工作组对X.509进行了扩展和补充，使更好的用于互联网环境中。目前X.509已经是独立的标准，最新版本为X.509 V3，而且X.509是TLS中唯一受支持的证书标准。关于X.509 V3的定义可参考rfc5280。

1. X.509证书的语法格式和序列化

X.509证书的格式格式定义和序列化都使用了ASN.1标准。X.509的语义描述使用ASN.1代码，而ASN.1的序列化编码有BER,DER,PEM。BER和DER都是二进制编码，BER编码有些地方存在歧义或者对编码结果没有严格约束，而DER则是BER的strict版本，确保一个ASN.1代码序列化后的二进制是唯一的，而不会出现不同实现结果不一样的情况。X.509证书的序列化就是用的DER格式，而PEM编码则是到DER进一步进行Base64处理。
理解ASN.1后再看RFC5280标准文档就容易多了。

2. 密码算法

   X.509证书涉及到了非对称加密，Hash，对称加密等加密算法，学习X.509证书需要有这方面的知识储备。

3. X.509的ASN.1定义

Certificate  ::=  SEQUENCE  {
    tbsCertificate       TBSCertificate,
    signatureAlgorithm   AlgorithmIdentifier,
    signature            BIT STRING  }
TBSCertificate  ::=  SEQUENCE  {
    version         [0]  Version DEFAULT v1,
    serialNumber         CertificateSerialNumber,
    signature            AlgorithmIdentifier,
    issuer               Name,
    validity             Validity,
    subject              Name,
    subjectPublicKeyInfo SubjectPublicKeyInfo,
    issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                        -- If present, version MUST be v2 or v3
    subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
                        -- If present, version MUST be v2 or v3
    extensions      [3]  Extensions OPTIONAL
                        -- If present, version MUST be v3 --  }

Version  ::=  INTEGER  {  v1(0), v2(1), v3(2)  }

CertificateSerialNumber  ::=  INTEGER

Validity ::= SEQUENCE {
    notBefore      Time,
    notAfter       Time  }

Time ::= CHOICE {
    utcTime        UTCTime,
    generalTime    GeneralizedTime }

UniqueIdentifier  ::=  BIT STRING

SubjectPublicKeyInfo  ::=  SEQUENCE  {
    algorithm            AlgorithmIdentifier,
    subjectPublicKey     BIT STRING  }

Extensions  ::=  SEQUENCE SIZE (1..MAX) OF Extension

Extension  ::=  SEQUENCE  {
    extnID      OBJECT IDENTIFIER,
    critical    BOOLEAN DEFAULT FALSE,
    extnValue   OCTET STRING
                -- contains the DER encoding of an ASN.1 value
                -- corresponding to the extension type identified
                -- by extnID
    }

这个ASN.1代码是RFC5280定义的，描述了X.509证书的基本字段(省略了扩展字段)
下面是CRL的定义

CertificateList  ::=  SEQUENCE  {
    tbsCertList          TBSCertList,
    signatureAlgorithm   AlgorithmIdentifier,
    signature            BIT STRING  }

TBSCertList  ::=  SEQUENCE  {
    version                 Version OPTIONAL,
                                -- if present, MUST be v2
    signature               AlgorithmIdentifier,
    issuer                  Name,
    thisUpdate              Time,
    nextUpdate              Time OPTIONAL,
    revokedCertificates     SEQUENCE OF SEQUENCE  {
        userCertificate         CertificateSerialNumber,
        revocationDate          Time,
        crlEntryExtensions      Extensions OPTIONAL
                                -- if present, version MUST be v2
                            }  OPTIONAL,
    crlExtensions           [0] Extensions OPTIONAL }
                                -- if present, version MUST be v2

-- Version, Time, CertificateSerialNumber, and Extensions were
-- defined earlier for use in the certificate structure

AlgorithmIdentifier  ::=  SEQUENCE  {
    algorithm               OBJECT IDENTIFIER,
    parameters              ANY DEFINED BY algorithm OPTIONAL  }
                                -- contains a value of the type
                                -- registered for use with the
                                -- algorithm object identifier value

只要理解上面各个字段的函义，证书的定义就完全掌握了。
其中tbsCertList包含了证书主体，除了签名以外的内容全在这里面。

4. 字段详解

4.1. version字段

0表示Version1,1表示Version2,2表示Version3

4.2. serialNumber字段

签发证书时的序列号，每次递增，用正整数表示。同一个CA签发的证书不能重复。

4.3. signature

这个定义的是签名算法。

4.4. issuer

证书发行方的DN，自签名证书这一项与subject相同

4.5. validity

证书书的有效期，ASN.1类型定义是UTC Time

4.6. subject

证书主题的DN，主题代表证书所代表的实体，也就是这个证书的持有人。

4.7. subjectPublicKeyInfo

主题的公钥信息，包含算法类型和公钥的Bit流数据

4.8. issuerUniqueID和subjectUniqueID

这是X.509 V2中增加的字段，issuer和subject的值是用唯一标识符表示的，RFC5280中并没有说UniqueID的长度和生成规则，而且这两个字段已很少使用。

4.9. extensions

这个就是在TLS X.509证书中常说的V3扩展，是在X.509V3中新增的字段，也是最复杂的一个字段。在RFC5280中的4.2节专门禅述了这个字段。
ASN.1定义

Extension  ::=  SEQUENCE  {
    extnID      OBJECT IDENTIFIER,
    critical    BOOLEAN DEFAULT FALSE,
    extnValue   OCTET STRING
                -- contains the DER encoding of an ASN.1 value
                -- corresponding to the extension type identified
                -- by extnID
    }

extnID 是一个oid,标识扩展的类型
critical 标识该扩展是否是关键的
extnValue 扩展的值，按照ASN.1格式定义

这里只说在X.509中定义的标准扩展。

4.9.1. Authority Key Identifier

签发当前证书所用公钥的指纹,一个issuer可能有多个公钥。指纹是用160-bit SHA-1计算的。在ASN.1中用属性名authorityKeyIdentifier表示。
自签名证书这一项可忽略

4.9.2. Subject Key Identifier

主题公钥标识符，就是证书自己的公钥指纹了

4.9.3 Key Usage

Key Usage是一个bit开关字段，指定证书的用途。CA证书中KeyUsage是必选的。
ASN.1定义如下：

      id-ce-keyUsage OBJECT IDENTIFIER ::=  { id-ce 15 }

      KeyUsage ::= BIT STRING {
           digitalSignature        (0),
           nonRepudiation          (1), -- recent editions of X.509 have
                                -- renamed this bit to contentCommitment
           keyEncipherment         (2),
           dataEncipherment        (3),
           keyAgreement            (4),
           keyCertSign             (5),
           cRLSign                 (6),
           encipherOnly            (7),
           decipherOnly            (8) }

digitalSignature 数据签名和验证(不包括证书和CRL)
nonRepudiation 不可否认性，签名和验证数据(不包括证书和CRL)时提供不可否认性(具有法律效力)
keyEncipherment 密钥加密
dataEncipherment 使用RSA公钥进行数据加密，很少使用
keyAgreement 密钥协商，如DH协议
keyCertSign 证书签名和验证，CA证书这一位必须为1
cRLSign CRL(证书吊销列表)签名和验证
encipherOnly 密钥协商时加密数据，需要与keyAgreement一起使用
decipherOnly 密钥协商时解密数据，需要与keyAgreement一起使用

4.9.4. Certificate Policies

证书策略指示证书的使用规范

ASN.1定义

   id-ce-certificatePolicies OBJECT IDENTIFIER ::=  { id-ce 32 }

   anyPolicy OBJECT IDENTIFIER ::= { id-ce-certificatePolicies 0 }

   certificatePolicies ::= SEQUENCE SIZE (1..MAX) OF PolicyInformation

   PolicyInformation ::= SEQUENCE {
        policyIdentifier   CertPolicyId,
        policyQualifiers   SEQUENCE SIZE (1..MAX) OF
                                PolicyQualifierInfo OPTIONAL }

   CertPolicyId ::= OBJECT IDENTIFIER

   PolicyQualifierInfo ::= SEQUENCE {
        policyQualifierId  PolicyQualifierId,
        qualifier          ANY DEFINED BY policyQualifierId }

   -- policyQualifierIds for Internet policy qualifiers

   id-qt          OBJECT IDENTIFIER ::=  { id-pkix 2 }
   id-qt-cps      OBJECT IDENTIFIER ::=  { id-qt 1 }
   id-qt-unotice  OBJECT IDENTIFIER ::=  { id-qt 2 }

   PolicyQualifierId ::= OBJECT IDENTIFIER ( id-qt-cps | id-qt-unotice )

   Qualifier ::= CHOICE {
        cPSuri           CPSuri,
        userNotice       UserNotice }

   CPSuri ::= IA5String

   UserNotice ::= SEQUENCE {
        noticeRef        NoticeReference OPTIONAL,
        explicitText     DisplayText OPTIONAL }

   NoticeReference ::= SEQUENCE {
        organization     DisplayText,
        noticeNumbers    SEQUENCE OF INTEGER }

   DisplayText ::= CHOICE {
        ia5String        IA5String      (SIZE (1..200)),
        visibleString    VisibleString  (SIZE (1..200)),
        bmpString        BMPString      (SIZE (1..200)),
        utf8String       UTF8String     (SIZE (1..200)) }

由以上ASN.1代码可看出CertPolicyId都是由OID表示的。
定义很长，但实际上关键的就两个cPSuri和userNotice。cPSuri是一个URL，指向证书的使用规范，可以是html或pdf。userNotice是通知文本，相当于证书的使用公告或通知。X.509定义的证书策略就这两个，但是CA/Browser Forum还定义了以下TLS证书策略。

这三项分别是EV，DV，OV证书策略,在TLS证书中至少要有一个。
完整的策略可以参考这里：
https://cabforum.org/resources/object-registry/
https://www.globalsign.com/en/repository/GlobalSign-CP-v7.4-final.pdf

4.9.5. Policy Mappings

当不同组织的CA交叉认证的时候，因为两个组织有不同的CP(Certificate Policies)定义,但是有些CP又是类似的，这时候就可以使用Policy Mappings把一个组织中的CP映射到另一个组织。
ASN.1定义

   id-ce-policyMappings OBJECT IDENTIFIER ::=  { id-ce 33 }


   id-ce-policyMappings OBJECT IDENTIFIER ::=  { id-ce 33 }


   PolicyMappings ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE {
        issuerDomainPolicy      CertPolicyId,
        subjectDomainPolicy     CertPolicyId }

issuerDomainPolicy 外部组织的CP
subjectDomainPolicy 本组织的CP
其中CertPolicyId就是策略的OID值。

4.9.6. Subject Alternative Name

Subject Alternative Name,顾名思义就是用来替代subject的DN的，如果存在Subject Alternative Name时subject的DN允许为空，但是Subject Alternative Name要标记critical。
ASN.1定义

   id-ce-subjectAltName OBJECT IDENTIFIER ::=  { id-ce 17 }

   SubjectAltName ::= GeneralNames

   GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

   GeneralName ::= CHOICE {
        otherName                       [0]     OtherName,
        rfc822Name                      [1]     IA5String,
        dNSName                         [2]     IA5String,
        x400Address                     [3]     ORAddress,
        directoryName                   [4]     Name,
        ediPartyName                    [5]     EDIPartyName,
        uniformResourceIdentifier       [6]     IA5String,
        iPAddress                       [7]     OCTET STRING,
        registeredID                    [8]     OBJECT IDENTIFIER }

   OtherName ::= SEQUENCE {
        type-id    OBJECT IDENTIFIER,
        value      [0] EXPLICIT ANY DEFINED BY type-id }

   EDIPartyName ::= SEQUENCE {
        nameAssigner            [0]     DirectoryString OPTIONAL,
        partyName               [1]     DirectoryString }

由ASN.1代码可见SubjectAltName所允许的值非常宽泛，可以是域名，ip地址，DN，邮件地址或者其它的任何名字，甚至还可以是通配符”*”。在TLS证书中通常是域名或IP地址。

4.9.7. Subject Directory Attributes

Subject的一个或多个Directory属性，属于非关键字段，这个应该主要用于LDAP/X500了。
ASN.1定义

“`ASN.1
id-ce-subjectDirectoryAttributes OBJECT IDENTIFIER ::= { id-ce 9 }

id-ce-subjectDirectoryAttributes OBJECT IDENTIFIER ::= { id-ce 9 }

SubjectDirectoryAttributes ::= SEQUENCE SIZE (1..MAX) OF Attribute

<pre><code class="line-numbers">4.9.8. Basic Constraints

标识当前证书是否为CA以及自当前证书开始允许的证书链长度(pathLenConstraint)，只为证书为CA时证书链长度约束才有效。
ASN.1定义
“`ASN1
BasicConstraints ::= SEQUENCE {
cA BOOLEAN DEFAULT FALSE,
pathLenConstraint INTEGER (0..MAX) OPTIONAL }

cA 指示是否为CA
pathLenConstraint 自当前证书开始，允许的证书链长度

4.9.9. Name Constraints

用于限制CA签发证书时subject和Subject Alternative Name属性的值，这样就能限制CA只能为指定的域名签发证书。
只有CA才有NameConstraints字段，而且自签名CA没有这个字段。

“`ASN.1
id-ce-nameConstraints OBJECT IDENTIFIER ::= { id-ce 30 }

<pre><code> NameConstraints ::= SEQUENCE {
permittedSubtrees [0] GeneralSubtrees OPTIONAL,
excludedSubtrees [1] GeneralSubtrees OPTIONAL }

GeneralSubtrees ::= SEQUENCE SIZE (1..MAX) OF GeneralSubtree
GeneralSubtree ::= SEQUENCE {
base GeneralName,
minimum [0] BaseDistance DEFAULT 0,
maximum [1] BaseDistance OPTIONAL }

BaseDistance ::= INTEGER (0..MAX)
</code></pre>

<pre><code class="line-numbers">4.9.10. Policy Constraints

在证书链中限制证书策略和策略映射，用于CA证书。

ASN.1定义
“`ASN1

id-ce-policyConstraints OBJECT IDENTIFIER ::= { id-ce 36 }

PolicyConstraints ::= SEQUENCE {
requireExplicitPolicy [0] SkipCerts OPTIONAL,
inhibitPolicyMapping [1] SkipCerts OPTIONAL }

SkipCerts ::= INTEGER (0..MAX)

requireExplicitPolicy 指示证书链中多少个证书以后必须声明政书策略
inhibitPolicyMapping 指示证书链中多少个证书以后不能指定策略映射

4.9.11. Extended Key Usage

这个字段是对Key Usage的扩展，增加了更多Key Usage定义。
不同于Key Usage用状态字来定义，Extended Key Usage是用OID来定义的。

   id-ce-extKeyUsage OBJECT IDENTIFIER ::= { id-ce 37 }

   ExtKeyUsageSyntax ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId

   KeyPurposeId ::= OBJECT IDENTIFIER

   anyExtendedKeyUsage OBJECT IDENTIFIER ::= { id-ce-extKeyUsage 0 }

   id-kp OBJECT IDENTIFIER ::= { id-pkix 3 }

   id-kp-serverAuth             OBJECT IDENTIFIER ::= { id-kp 1 }
   -- TLS WWW server authentication
   -- Key usage bits that may be consistent: digitalSignature,
   -- keyEncipherment or keyAgreement

   id-kp-clientAuth             OBJECT IDENTIFIER ::= { id-kp 2 }
   -- TLS WWW client authentication
   -- Key usage bits that may be consistent: digitalSignature
   -- and/or keyAgreement

   id-kp-codeSigning             OBJECT IDENTIFIER ::= { id-kp 3 }
   -- Signing of downloadable executable code
   -- Key usage bits that may be consistent: digitalSignature

   id-kp-emailProtection         OBJECT IDENTIFIER ::= { id-kp 4 }
   -- Email protection
   -- Key usage bits that may be consistent: digitalSignature,
   -- nonRepudiation, and/or (keyEncipherment or keyAgreement)

   id-kp-timeStamping            OBJECT IDENTIFIER ::= { id-kp 8 }
   -- Binding the hash of an object to a time
   -- Key usage bits that may be consistent: digitalSignature
   -- and/or nonRepudiation

   id-kp-OCSPSigning            OBJECT IDENTIFIER ::= { id-kp 9 }
   -- Signing OCSP responses
   -- Key usage bits that may be consistent: digitalSignature
   -- and/or nonRepudiation

对于TLS服务器证书必须包含id-kp-serverAuth

4.9.12. CRL Distribution Points

指定CRL文件的位置，这是个非关键字段。

   id-ce-cRLDistributionPoints OBJECT IDENTIFIER ::=  { id-ce 31 }

   CRLDistributionPoints ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint

   DistributionPoint ::= SEQUENCE {
        distributionPoint       [0]     DistributionPointName OPTIONAL,
        reasons                 [1]     ReasonFlags OPTIONAL,
        cRLIssuer               [2]     GeneralNames OPTIONAL }

   DistributionPointName ::= CHOICE {
        fullName                [0]     GeneralNames,
        nameRelativeToCRLIssuer [1]     RelativeDistinguishedName }

   ReasonFlags ::= BIT STRING {
        unused                  (0),
        keyCompromise           (1),
        cACompromise            (2),
        affiliationChanged      (3),
        superseded              (4),
        cessationOfOperation    (5),
        certificateHold         (6),
        privilegeWithdrawn      (7),
        aACompromise            (8) }

distributionPoint http或ldap url,用于下载crl文件，可以有多个
reasons 证书吊销的原因
cRLIssuer CRL文件的签发者的DN，CRL和证书签发人不一样时才需要
4.9.13. Inhibit anyPolicy

限制anyPolicy的生效，也算一种策略约束

   Conforming CAs MUST mark this extension as critical.

   id-ce-inhibitAnyPolicy OBJECT IDENTIFIER ::=  { id-ce 54 }

   InhibitAnyPolicy ::= SkipCerts

   SkipCerts ::= INTEGER (0..MAX)

SkipCerts 指定证书链中多少个证书以后anyPolicy策略不再生效

4.9.14. Freshest CRL (a.k.a. Delta CRL Distribution Point)

增量CRL分发点，语法跟CRL Distribution Points一样

   id-ce-freshestCRL OBJECT IDENTIFIER ::=  { id-ce 46 }

   FreshestCRL ::= CRLDistributionPoints

4.9.15. Authority Information Access

授权信息访问，就是签发人(CA)的可访问的在线信息

   id-pe-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 }

   AuthorityInfoAccessSyntax  ::=
           SEQUENCE SIZE (1..MAX) OF AccessDescription

   AccessDescription  ::=  SEQUENCE {
           accessMethod          OBJECT IDENTIFIER,
           accessLocation        GeneralName  }

   id-ad OBJECT IDENTIFIER ::= { id-pkix 48 }

   id-ad-caIssuers OBJECT IDENTIFIER ::= { id-ad 2 }

   id-ad-ocsp OBJECT IDENTIFIER ::= { id-ad 1 }

id-ad-caIssuers 指示证书链中各个上级CA的链接，用于对证书链进行验证。这个字段可以多次出现。
id-ad-ocsp CA的ocsp(Online Certificate Status Protocol)链接,维护证书的吊销状态

4.9.16. Subject Information Access

主题信息访问，就是证书持有人的可访问的在线信息，当subject是CA时这个扩展才存在

   id-ad OBJECT IDENTIFIER ::= { id-pkix 48 }

   id-ad-caRepository OBJECT IDENTIFIER ::= { id-ad 5 }

   id-ad-timeStamping OBJECT IDENTIFIER ::= { id-ad 3 }

id-ad-caRepository 证书仓库，就是CA签发证书后会放在这个仓库中，可以从这里下载证书
id-ad-timeStamping TSP(Time-Stamp Protocol)协议服务地址,TSP用于对时间进行签名，时间的签名信息是从TSP在线获取的。

5. 签名

5.1. signatureAlgorithm

签名算法，与TBSCertificate.signature的值相同

5.2. signature

证书的具体签名信息

6. 名词解释

6.1. DN

一个DN(distinguished name)是由多个RDN(relative distinguished name)组成的,DN中的一个字段就是一个RDN。在X500/LDAP中广泛使用。
这是LDAP/X.500用到的基本RDN字段
String X.500 AttributeType
—— ——————————————–
CN commonName (2.5.4.3)
L localityName (2.5.4.7)
ST stateOrProvinceName (2.5.4.8)
O organizationName (2.5.4.10)
OU organizationalUnitName (2.5.4.11)
C countryName (2.5.4.6)
STREET streetAddress (2.5.4.9)
DC domainComponent (0.9.2342.19200300.100.1.25)
UID userId (0.9.2342.19200300.100.1.1)
这些字段是在X500中定义的，参考RFC4514和RFC4519。
DN验证的时候忽略大小写和多余的空白符，DN必须支持UTF8。
这是X.509中用到的基本RDN字段，就是说这些字段是必须实现的。
* country,
* organization,
* organizational unit,
* distinguished name qualifier,
* state or province name,
* common name (e.g., “Susan Housley”), and
* serial number.

必须实现的附加字段

* locality,
* title,
* surname,
* given name,
* initials,
* pseudonym, and
* generation qualifier (e.g., "Jr.", "3rd", or "IV").

X.509中还必须实现domainComponent字段，domainComponent是LDAP中的DC(域给件)，不是DNS中的域名，详细介绍可以看LDAP/X.500。
因为有些系统使用DN名作为认证方法，所以DN的比较也是很重要的。
RFC5280中分为了三种情况，
– DN1和DN2的RDN数量相同，则DN1中的每个字段都能在DN2中找到相同的字段则认为DN1与DN2相同
– DN1和DN2的RDN数量相同，顺序也相同，并且则DN1中的每个字段都能在DN2中找到相同的字段则认为DN1与DN2相同
– DN1和DN2的RDN数量不同，则把较长的DN1从尾部把多余的RDN去掉，然后按前面的方法进行比较。DN的定义是大的单位在前面，小的单位在后面，所以这样等于DN1是否属于DN2的下属单位。

对于两个不同的实体DN不能相同，但是一个实体可以有多个DN。
在LDAP中DN是用于对目录名(DirectoryName)进行标识的。

6.2. Subject

代表持有证书的实体，可以是最实体，也可以是CA。

6.3. Issuer

代表签发证书的实体，一定是CA

参考：

RFC5280

Views: 9

TBSCertificate  ::=  SEQUENCE  {
     version         [0]  Version DEFAULT v1,
     serialNumber         CertificateSerialNumber,
     signature            AlgorithmIdentifier,
     issuer               Name,
     validity             Validity,
     subject              Name,
     subjectPublicKeyInfo SubjectPublicKeyInfo,
     issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3
     subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3
     extensions      [3]  Extensions OPTIONAL
                          -- If present, version MUST be v3 --  
}

以上编码方括号中指定的是自定义tag,那为什么要指定自定义tag呢？
在一个Sequence复合数据结构中，各个子字段的函义完全是由在sequence中出现的顺序决定的。如果所有字段都是固定的，这没有什么问题。但是如果出现可选字段，顺序就会打乱。所以对于可选字段就不能单纯依靠字段顺序进行解析，这时候自定义tag就派上用场了，字段的函义由tag来决定。
ASN.1为自定义tag当义了两种编码方式。在IMPLICIT编码方式中自定义tag会替换原始的tag，优点是不会增加额外的存储空间，但是原始字段的tag就丢掉了，这样要确定字段的数据类型就需要联系上下文来推断。另一种是EXPLICIT编码，这种方式会创建一个squence然后原始字段会成为这个squence的唯一字段，自定义的tag是这个squence的tag，缺点是新创建的squence会额外占用两个字节。
两种编码的具体示例可以在这里找到：
https://letsencrypt.org/zh-cn/docs/a-warm-welcome-to-asn1-and-der/#explicit-%E4%B8%8E-implicit
其中EXPLICIT编码是默认的编码方式。

Views: 30

在ASN.1（Abstract Syntax Notation One）中，标签（Tag）用于标识数据类型和结构。标签由一个标识符（Tag Identifier）和一个长度（Length）组成。对于简单的数据类型，标签通常是单字节的，但对于某些复杂的数据类型，标签可能需要使用多字节来表示。以下是关于ASN.1中多字节标签的详细说明：

1. ASN.1标签概述

1.1 标签的组成

ASN.1标签由以下部分组成：
– 标签类（Class）：表示标签的类型，包括通用（Universal）、应用（Application）、特定语境（Context-Specific）和私有（Private）。
– 标签号（Tag Number）：表示具体的数据类型或结构。
– 构造类型（Constructed Type）：指示数据是原始类型（Primitive）还是构造类型（Constructed）。

1.2 标签的格式

标签的格式如下：

+----------------+----------------+----------------+
| Class (2 bits) | P/C (1 bit)    | Tag Number     |
+----------------+----------------+----------------+

• Class：标签类，占2位。
• P/C：构造类型，占1位。0表示原始类型，1表示构造类型。
• Tag Number：标签号，占5位或更多。

2. 单字节标签

2.1 单字节标签的表示

对于标签号在0到30之间的标签，可以使用单字节表示：

+----------------+----------------+----------------+
| Class (2 bits) | P/C (1 bit)    | Tag Number (5 bits) |
+----------------+----------------+----------------+

例如：
– INTEGER：标签类为通用（00），构造类型为原始（0），标签号为2（00010）。
– SEQUENCE：标签类为通用（00），构造类型为构造（1），标签号为16（10000）。

3. 多字节标签

3.1 多字节标签的表示

对于标签号大于30的标签，需要使用多字节表示。第一个字节的标签号部分设置为31（11111），后续字节用于表示实际的标签号。每个后续字节的最高位（MSB）用于指示是否有更多的字节，剩余7位用于表示标签号的一部分。

3.2 多字节标签的格式

多字节标签的格式如下：

+----------------+----------------+----------------+
| Class (2 bits) | P/C (1 bit)    | 11111          |
+----------------+----------------+----------------+
| 1xxxxxxx       | 1xxxxxxx       | 0xxxxxxx       |
+----------------+----------------+----------------+

• Class：标签类，占2位。
• P/C：构造类型，占1位。
• 11111：表示标签号大于30。
• 1xxxxxxx：后续字节的最高位为1，表示还有更多字节。
• 0xxxxxxx：最后一个字节的最高位为0，表示这是最后一个字节。

3.3 示例

假设标签号为201：
– 第一个字节：标签类为通用（00），构造类型为构造（1），标签号部分为11111（表示多字节标签）。
– 后续字节：201的二进制表示为11001001。将其分成7位一组，得到两个字节：0000001 1001001。
– 第一个后续字节：最高位为1，表示还有更多字节，剩余部分为0000001（01）。
– 第二个后续字节：最高位为0，表示这是最后一个字节，剩余部分为1001001（49）。

最终的多字节标签表示为：

+----------------+----------------+----------------+
| 00 | 1 | 11111 | 1 0000001     | 0 1001001      |
+----------------+----------------+----------------+

即：

1F 81 49

4. 编码示例

4.1 示例：标签号为201的SEQUENCE

假设我们有一个标签号为201的SEQUENCE，标签类为通用（00），构造类型为构造（1），标签号为201。编码结果如下：

+----------------+----------------+----------------+
| 00 | 1 | 11111 | 1 0000001     | 0 1001001      |
+----------------+----------------+----------------+

即：

1F 81 49

结论

在ASN.1中，多字节标签用于表示标签号大于30的标签。多字节标签的第一个字节的标签号部分设置为31（11111），后续字节用于表示实际的标签号。每个后续字节的最高位用于指示是否有更多的字节，剩余7位用于表示标签号的一部分。通过了解多字节标签的表示方法，我们可以更好地设计和编码ASN.1数据结构，确保数据的准确性和可读性。

Views: 17

ASN.1是一种数据格式描述语言，如同XML也是一种描述语言，广泛用于IETF文档中描述协议和证书格式，所以要想看懂IETF文档要先看懂ASN.1语言。

以下内容转自：https://letsencrypt.org/zh-cn/docs/a-warm-welcome-to-asn1-and-der/#%E5%8D%95%E4%B8%80%E5%AD%97%E6%AE%B5%E4%B8%8E%E5%A4%8D%E5%90%88%E5%AD%97%E6%AE%B5

本文以轻松的笔触介绍了 HTTPS 证书背后的数据结构和格式， 只要稍有计算机科学知识并对数字证书略知一二就不难理解。

HTTPS 证书是一种文件，与任何其他文件一样。 它的具体格式是由 RFC 5280 规定的， 该标准采用了一门名为 ASN.1 的语言，专门用于定义文件格式，也可以说是定义数据结构。 譬如，C 语言是这样定义数据结构的：

struct point {
  int x, y;
  char label[10];
};

Go 语言则是这样定义的：

type point struct {
  x, y int
  label string
}

而写成 ASN.1 就会是这样：

Point ::= SEQUENCE {
  x INTEGER,
  y INTEGER,
  label UTF8String
}

与 Go 和 C 的语法相比，ASN.1 的优势在于它不依赖某一门特定的编程语言， 任何语言都可以根据上述 ASN.1 定义实现 Point 结构。不仅如此，借助工具还可以将 ASN.1 定义自动转换成你想使用的语言。 在 ASN.1 中，一系列相关的定义称为一个“模块”。

ASN.1 的另一特点在于它有各种序列化格式，也就是说数据可以从内存导出成一串字节（或存入文件中），也可以由一串字节反过来导入内存。 因此任何一台设备生成的证书其他设备都能正常读取，无需顾忌 CPU 和操作系统的差异。

还有一些语言也能起到与 ASN.1 同样的作用。 例如，Protocol Buffers 也提供了一门定义类型的语言，以及负责将各类对象编码的序列化格式。 Thrift 同样具备类似的语言和序列化格式。 Protocol Buffers 和 Thrift 完全可以胜任定义 HTTPS 证书的职责，只不过 ASN.1 早在 1984 年就已诞生，对于数字证书（1988 年）和 HTTPS（1994 年）技术来说具备先天优势。

多年来 ASN.1 标准几经修订，各修订版本通常以发布年份加以区分。 本文介绍 ASN.1 旨在帮助读者准确理解 RFC 5280 及其他 HTTPS 证书相关标准，所以我们将着重探讨 1988 年版，并简要提及后续版本引入的功能。 各版本的标准文档可以直接在国际电信联盟（ITU）的网站上下载，不过部分文件只对 ITU 成员开放。 相关标准包括 X.680（定义了 ASN.1 语言）和 X.690（定义了 DER 和 BER 序列化格式）， 其前身分别是 X.208 与 X.209。

ASN.1 最主要的序列化格式称为 Distinguished Encoding Rules (DER)。 它是对 Basic Encoding Rules (BER) 格式加以严格规范化而成的一种变体。 例如，在 DER 格式中，即使是集合类型（SET OF）的元素也必须有序排列。

DER 格式的证书通常会进一步转换成 PEM 格式，这一过程采用 Base64 编码将二进制字节转化为一连串的字母、数字、“+”和“/”符号，并在头尾加入“—–BEGIN CERTIFICATE—–”与“—–END CERTIFICATE—–”两行文字以示分隔。 PEM 格式的优点在于方便复制与粘贴。

本文将首先介绍 ASN.1 使用的类型与语法，然后再介绍 ASN.1 定义的对象是如何编码的。 读者不妨随时翻阅前后章节，毕竟 ASN.1 语言的部分功能直接决定了其编码方式。 本文倾向使用更为通行的术语，如用“字节”而非“八位组”，用“数值”而非“内容”。 “序列化”与“编码”则作为同义词使用。

类型

INTEGER

就是老生常谈的整数。 可以是正数，也可以是负数。 ASN.1 的 INTEGER 类型最为特别之处在于大小不限。 int64 不够大？ 小事一桩。 这对于表示 RSA 模数之类远超 int64 范围的整数（比如 2²⁰⁴⁸）尤为有用。 严格说来 DER 格式的整数范围是有上限的，但上限极高：任何 DER 字段的长度必须能够用 126 个字节来表示。 因此，DER 能表示的最大的 INTEGER 数值是 256^(2**1008)−1。 真正无限大的 INTEGER 必须用 BER 编码，因为 BER 对字段长度没有限制。

字符串

ASN.1 有很多字符串类型：BMPString、GeneralString、GraphicString、IA5String、ISO646String、NumericString、PrintableString、TeletexString、T61String、UniversalString、UTF8String、VideotexString，还有 VisibleString。 对于 HTTPS 证书来说基本只需要关心 PrintableString、UTF8String 和 IA5String。 ASN.1 模块定义字段的时候也会定义其应当使用的字符串类型。 例如：

CPSuri ::= IA5String

PrintableString 只能存储 ASCII 中的部分字符，包括字母、数字、空格以及一些特定的符号：' () + , - . / : = ?。 注意其中不包括 * 和 @。 虽然允许使用的字符有限，但在存储空间上并无优势。

某些字段，例如 RFC 5280 中的 DirectoryString，有多种字符串类型可供选择。 由于 DER 编码会将字符串的类型信息一并存储，使用 PrintableString 这类字符串时务必确保其内容符合类型要求。

IA5String 源自 International Alphabet No. 5，限制较为宽松，所有 ASCII 字符几乎都能使用，在证书中常用于邮箱地址、DNS 域名、网址之类的字段。 需要注意的是 IA5 编码中有部分数值的含义与 US-ASCII 并不相同。

TeletexString、BMPString 和 UniversalString 对 HTTPS 证书来说都已过时，建议不再使用。但一些历史悠久的证书可能在其过时之前就已颁布，因此还能发现它们的身影，需要予以解析。

与 C 和 C++ 语言中的字符串不同，ASN.1 的字符串不以空字符结尾。 事实上，字符串中出现空字符也是完全符合规范的。 如果两套系统采取不同方式读取同一 ASN.1 字符串，就可能出现安全漏洞。 例如，过去攻击者只要持有 evil.com 域名，就能诱使某些证书颁发机构为“example.com\0.evil.com”颁发证书。 当时的证书验证软件会认为这一证书对 example.com 也是有效的。 在 C 和 C++ 中处理 ASN.1 字符串必须加倍小心，避免产生安全漏洞。

日期和时间

时间类型也有不少：UTCTime、GeneralizedTime、DATE、TIME-OF-DAY、DATE-TIME 以及 DURATION。 但在 HTTPS 证书中只需关心 UTCTime 和 GeneralizedTime。

UTCTime 采用 YYMMDDhhmm[ss] 的格式表示日期和时间，末尾还可以加上时区，或者加上“Z”表示协调世界时（UTC）。 例如，UTCTime 的 820102120000Z 和 820102070000-0500 表示同一时刻：1982 年 1 月 2 日纽约（UTC−5）的早晨七点，即协调世界时的正午十二点。

因为 UTCTime 没有写明是 20 世纪还是 21 世纪，RFC 5280 补充规定了其范围是 1950 至 2050 年。 RFC 5280 还规定时区必须为“Z”，且秒数不能省略。

GeneralizedTime 用四位数字表示年份，从而得以支持 2050 年以后的日期。 它还允许秒数出现小数（而且句点和逗号竟然都可以作为小数点）。 RFC 5280 又禁止了秒数出现小数，并要求时区为“Z”。

OBJECT IDENTIFIER

Object identifier (OID) 是一种全球唯一的层状标识符，由一串整数组成。 它可以用来标识任何东西，但通常用于指代标准、算法、证书扩展、组织机构或政策文件。 例如 1.2.840.113549 表示的是 RSA 安全公司， 因此该公司有权分配以这一串数字开头的 OID，比如 RFC 8017 定义的 1.2.840.113549.1.1.11 表示 sha256WithRSAEncryption。

类似地，1.3.6.1.4.1.11129 指的是 Google 公司，Google 则在 RFC 6962 中将 1.3.6.1.4.1.11129.2.4.2 分配给了证书透明化系统中的 SCT 列表扩展，因为该系统最初便是由 Google 研发的。

同一前缀下的所有 OID 在英文中又称为 OID arc。 OID 越短，占据的空间就越小，价值也就越高，对于大量使用 OID 的格式尤为如此。 OID 前缀 2.5 分配给了 Directory Services，指的是一系列的标准文档，在 HTTPS 证书中处于核心地位的 X.509 标准也位列其中。 证书中有很多字段用的都是这个简短的前缀。 例如，2.5.4.6 表示国家名称（countryName），2.5.4.10 则表示机构名称（organizationName）。 这些 OID 在绝大多数证书中至少都会出现一次，自然越短越好。

标准文件中的 OID 常用英文词汇表示以便阅读，有时还会拼接形成新的 OID。 以 RFC 8017 为例：

   pkcs-1    OBJECT IDENTIFIER ::= {
       iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) 1
   }
   ...

   sha256WithRSAEncryption      OBJECT IDENTIFIER ::= { pkcs-1 11 }

NULL

NULL 就是 NULL，懂了吧？

SEQUENCE 和 SEQUENCE OF

别被名字给骗了，这是两种截然不同的类型。 SEQUENCE 相当于大多数编程语言中的 struct 类型， 用于存放若干不同类型的固定字段。 参见下文的证书示例。

SEQUENCE OF 表示的则是任意数量同一类型的字段， 相当于编程语言中的数组或列表。 例如：

   RDNSequence ::= SEQUENCE OF RelativeDistinguishedName

可以是 0 个、1 个乃至 7000 个 RelativeDistinguishedName，并且按某种特定顺序排列。

不过 SEQUENCE 和 SEQUENCE OF 还是有相似之处的：二者的编码完全相同！ 这一点留到探讨编码时再详细介绍。

SET 和 SET OF

这两种类型与 SEQUENCE 和 SEQUENCE OF 基本相同，只是强调其中元素的顺序无关紧要。 但是在编码前必须先予以排序。 例如：

RelativeDistinguishedName ::=
  SET SIZE (1..MAX) OF AttributeTypeAndValue

注意：本例使用了 SIZE 关键字要求 RelativeDistinguishedName 中至少应有一个元素，但通常 SET 和 SET OF 都可以为空。

BIT STRING 和 OCTET STRING

前者表示一段任意的二进制位，而后者表示一段任意的字节。 这两种类型可以存放无特殊结构的数据，比如密码学中的 nonce 和散列值。 它们也可以当作 C 语言中的 void 指针或 Go 语言中的空接口（interface{}）使用，表示数据虽然存在内部结构，但该结构只在别处定义，与 ASN.1 的类型系统无关。 例如，证书的数字签名就是用 BIT STRING 定义的：

Certificate  ::=  SEQUENCE  {
     tbsCertificate       TBSCertificate,
     signatureAlgorithm   AlgorithmIdentifier,
     signature            BIT STRING  }

新版的 ASN.1 语言还支持详细规定 BIT STRING 的内容，OCTET STRING 亦然。

CHOICE 和 ANY

CHOICE 表示可以使用其定义中列出的任意一种类型。 例如，下方的 Time 要么是 UTCTime，要么是 GeneralizedTime：

Time ::= CHOICE {
     utcTime        UTCTime,
     generalTime    GeneralizedTime }

ANY 表示允许使用任意类型。 但实际中通常还有一些 ASN.1 语法难以表达的限制。 例如：

   AttributeTypeAndValue ::= SEQUENCE {
     type     AttributeType,
     value    AttributeValue }

   AttributeType ::= OBJECT IDENTIFIER

   AttributeValue ::= ANY -- DEFINED BY AttributeType

ANY 在协议的扩展机制中扮演了重要的角色。它为将来新增字段留出了余地，协议的主体规范发布后不必反复修订，新字段只需注册新的类型（用 OID 表示），并随之定义具体的字段格式即可。

需要注意的是 ANY 属于 ASN.1 从 1988 年遗留下来的类型。 1994 年 ANY 就已经被废弃，取而代之的是 Information Object Class，这是一种规范化的扩展定义方式，弥补了 ANY 的不足。 现如今这一改变已经相当彻底，2015 年版的 ASN.1 标准甚至连 ANY 的字样都没有出现。 但是如果回过头看 1994 年版还是可以找到有关这一变动的探讨。 此处介绍这种旧式语法是因为 RFC 5280 仍在使用， RFC 5912 则把 RFC 5280 及相关标准中的类型都转换成了 2002 年的 ASN.1 格式。

其他语法

以 -- 开头的文字是注释。 SEQUENCE 和 SET 类型的字段标注 OPTIONAL 表示可以省略，或者标注 DEFAULT foo 表示省略后的默认值为 foo。 具有长度的类型（字符串、OCTET STRING、BIT STRING、SET OF、SEQUENCE OF）可以通过 SIZE 参数限定长度必须在某一范围内或恰为某个数。

类型定义结尾可以使用花括号限定该类型只能取某些值。 例如此处定义 Version 字段只能取三个值中的一个，并对这三个值分别赋予了含义：

Version ::= INTEGER { v1(0), v2(1), v3(2) }

这种方法也常用于标识 OID 的名称。注意此时没有用逗号，因此表示的是一个整体，而非可供选择的多个值。 以 RFC 5280 为例：

id-pkix  OBJECT IDENTIFIER  ::=
         { iso(1) identified-organization(3) dod(6) internet(1)
                    security(5) mechanisms(5) pkix(7) }

接下来还会出现 [数字]、IMPLICIT、EXPLICIT、UNIVERSAL、APPLICATION 等语法要素， 这些语法关系到编码细节，我们将在下文探讨。

编码

ASN.1 有很多种编码：BER、DER、PER、XER 等等。 BER (Basic Encoding Rules) 是一种很灵活的编码， DER (Distinguished Encoding Rules) 则在 BER 的基础上加入了规范化的规则，从而保证同样的信息编码方式也是唯一的。 PER (Packed Encoding Rules) 编码更为紧凑，适合对存储空间或传输速度要求较高的场景。 XER (XML Encoding Rules) 则在需要使用 XML 的情况下能够派上用场。

HTTPS 证书通常采用 DER 编码。 用 BER 也是可以的，但是数字签名必须根据 DER 编码计算，和证书的实际编码方式无关，所以用 BER 相当于自讨苦吃。 本文以介绍 BER 为主，并随之说明 DER 在其基础上施加的额外规定。

阅读本章时建议在另一窗口打开这个实际证书解码示例，方便对照。

类型–长度–数据

与 Protocol Buffers 和 Thrift 一样，BER 的编码形式称为“类型–长度–数据”（type–length–value，常缩写为 TLV）。 也就是说，如果按顺序读取 BER 编码的每个字节，首先读取到的是类型信息，在 ASN.1 中称为“标签”。 标签可以有一个或多个字节，表示存储的是哪种数据，例如 INTEGER、UTF8String 等等。

接下来出现的是长度，表示数据究竟有多少个字节。 再接下来自然就是数据本身了。 例如，以十六进制表示的字节 02 03 01 00 01 表示一个 INTEGER（02 就是 INTEGER 类型对应的标签），长度是 03，后面的 3 个字节 01 00 01 则是数据。

与类型–长度–数据的编码方式不同，JSON、CSV、XML 等格式通过分隔符实现编码，也就是事先并不知道数据的长度，出现特定的分隔符（比如 JSON 中的 } 和 XML 中的 </some-tag>）便表示数据结束。

标签

标签通常只有一个字节。 如果使用多个字节还可以编码任意大小的标签，但通常没有这个必要。

以下是一些常见的标签：

这些标签都属于“通用”标签（universal tags），由 ASN.1 核心规范定义，在所有 ASN.1 模块中都有着相同的含义。此外还有一些无关紧要的通用标签，这里略去不表。

这些标签的值都小于 31（0x1F），其实是有原因的。第 8、7、6 位（也就是标签字节的最高三位）有着特殊含义，所以大于 31 的通用标签只能用多字节标签表示。 有一小部分通用标签的值大于 31，但是数量很少。

标 * 的两个标签在编码中一定是 0x30 和 0x31，因为第 6 位表示该字段是单一字段还是复合字段。 这两种类型必然是复合字段，所以第 6 位只能是 1。 详见单一字段与复合字段的说明。

标签类别

通用标签把“好用”的数字都用光了，但这并不妨碍我们定义自己的标签。 除了通用标签外还有三种标签：程序内部标签、特定语境标签和私有标签。 标签类别可通过第 7 位和第 8 位区分：

标准规范中使用的大多是通用标签，因为通用标签已经涵盖了所有常用数据结构。 例如，证书序列号就是用朴实无华的 INTEGER 类型编码的，标签值为 0x02。 但有时标准中也需要定义特定语境标签来区分 SET 和 SEQUENCE 中的可省略元素，或者区分 CHOICE 中同类型的选项。 以下述定义为例：

Point ::= SEQUENCE {
  x INTEGER OPTIONAL,
  y INTEGER OPTIONAL
}

OPTIONAL 字段如果省略，在编码中就完全不存在，这样一来只有 x 坐标和只有 y 坐标的 Point 就无法区分。 例如，一个只声明 x 坐标为 9 的 Point 编码如下（30 是 SEQUENCE 的标签）：

30 03 02 01 09

这是一个长度为 3（字节）的 SEQUENCE，包含一个长度为 1 的 INTEGER 元素，且其数值为 9。 但一个 y 坐标为 9 的 Point 也得这么编码，于是就出现了歧义。

编码指令

为避免出现歧义，标准规范需要通过编码指令为每个字段分配互不相同的标签。 既然通用标签不能随意改变含义，我们只好改用其他类别，比如程序内部标签：

Point ::= SEQUENCE {
  x [APPLICATION 0] INTEGER OPTIONAL,
  y [APPLICATION 1] INTEGER OPTIONAL
}

不过这种情形下最常用的还是特定语境标签，表示方法就是方括号内只有一个数字：

Point ::= SEQUENCE {
  x [0] INTEGER OPTIONAL,
  y [1] INTEGER OPTIONAL
}

这样一来，只声明 x 坐标为 9 的 Point 编码时便不再用 INTEGER 的通用标签，而是将标签的第 8 和第 7 位分别改为 1 和 0，表示特定语境标签，其他低位设为 0，得到以下编码：

30 03 80 01 09

y 坐标为 9 的 Point 编码方式如出一辙，只不过低位要设为 1：

30 03 81 01 09

x 和 y 坐标都为 9 的 Point 则可以编码如下：

30 06 80 01 09 81 01 09

长度

类型–长度–数据中的长度指的一定是数据的字节数，数据中嵌套的所有字段也包含在内。 因此，只含有一个元素的 SEQUENCE 长度也不是 1，而是该元素编码后有多少个字节。

长度也有两种编码方式：短编码和长编码。 短编码就是一个字节，取值范围是 0 到 127。

长编码则至少有两个字节。第一个字节的第 8 位必须为 1， 其余 7 位表示这个长度字段还有几个字节。 接下来就是一个多字节整数，给出了长度的具体数值。

可想而知，这样得到的长度值可以非常大。 长度最大时第一个字节是 254（255 是保留值，供将来扩展使用），表示这个长度字段内还有足足 126 个字节。 如果这 126 个字节都是 255，那么实际数据的长度会达到 2¹⁰⁰⁸−1 字节（超过 10²⁹⁴ GB）。

此外，同一长度值的长编码并不唯一，比如一个字节的数字可以拿两个字节表示，短编码就能表示的数字也可以用长编码。 所以 DER 规定必须采用最短的编码方式。

安全警示：不要轻信长度字段的值！ 举例来说，待解码的数据流究竟有没有该字段显示的那么长还是需要核实的。

不定长编码

在 BER 中，字符串、SEQUENCE、SEQUENCE OF、SET 和 SET OF 类型的字段即使事先不知道长度也可以直接编码，通过数据流输出就可以采用这种方式。 具体方法是将长度字段设为一个字节 0x80，数据中连续存放若干个编码后的字段，最后以两个字节 00 00（可以认为是一个标签和长度都为 0 的字段）结尾。 例如，UTF8String 的不定长编码就是若干个 UTF8String 拼接在一起，然后在末尾加上 00 00。

不定长编码还可以任意嵌套。 例如，在 UTF8String 的不定长编码中，待拼接的每一段 UTF8String 本身也可以选用定长或不定长编码。

作为长度的 0x80 字节并不存在歧义，因为它既不是短编码，也不是长编码。 它的第 8 位是 1，按理说应该是长编码，其余 7 位表示还有多少个字节。 但这 7 位都是 0，说明长度要用 0 个字节来表示，这是不允许的。

DER 禁止使用不定长编码， 所以必须使用定长编码，提前写明数据的实际长度。

单一字段与复合字段

标签中第一个字节的第 6 位表示该字段是单一（primitive）字段还是复合（constructed）字段。 单一字段中存储的就是数据本身，比如 UTF8String 的数据就是经过 UTF-8 编码的字符串。 复合字段存储的则是若干其他字段，经过编码后拼接在一起。 例如“不定长编码”一节中提到的不定长 UTF8String 就会有多个 UTF8String 字段（各有标签和长度）编码后连在一起，形成复合字段。 复合字段的长度便是拼接后各字段的总字节数。 复合字段可以采用定长或不定长编码， 而单一字段只能用定长编码，因为其数据中没有其他字段，也就无法表明数据该在哪里结束。

INTEGER、OBJECT IDENTIFIER 和 NULL 类型必须是单一字段， 而 SEQUENCE、SEQUENCE OF、SET 和 SET OF 类型必须是复合字段（因为它们的作用本来就是存放多个元素）。 BIT STRING、OCTET STRING、UTCTime、GeneralizedTime 还有各种字符串类型既可以是单一字段，也可以是复合字段，在 BER 中编码者可以自行决定， 但在 DER 中凡是单一、复合均可的类型都必须用单一字段。

EXPLICIT 与 IMPLICIT

前面提到的 [1]、[APPLICATION 8] 等编码指令还可以加上 EXPLICIT 或 IMPLICIT 关键字。以 RFC5280 为例：

TBSCertificate  ::=  SEQUENCE  {
     version         [0]  Version DEFAULT v1,
     serialNumber         CertificateSerialNumber,
     signature            AlgorithmIdentifier,
     issuer               Name,
     validity             Validity,
     subject              Name,
     subjectPublicKeyInfo SubjectPublicKeyInfo,
     issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3
     subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3
     extensions      [3]  Extensions OPTIONAL
                          -- If present, version MUST be v3 --  }

这两个关键字定义的是标签的编码方式，与标签值是明确写出还是自动分配无关。事实上使用这两个关键字时都必须在方括号中写明标签的值。 IMPLICIT 字段的编码方式与其原始类型相同，只是标签的值和类别由方括号中的内容决定。 EXPLICIT 字段则需要先将数据按原始类型编码，再将编码结果套入另一字段中。 外层字段的标签值和类别再由方括号中的内容决定，而且一定是复合字段。

例如，若在 ASN.1 的编码指令中加上 IMPLICIT：

[5] IMPLICIT UTF8String

那么字符串“hi”会被编码为：

85 02 68 69

但如果在 ASN.1 的编码指令中加上 EXPLICIT：

[5] EXPLICIT UTF8String

则字符串“hi”会被编码为：

A5 04 0C 02 68 69

如果 IMPLICIT 和 EXPLICIT 关键字都没有出现，默认编码为 EXPLICIT，除非该模块开头指定了“EXPLICIT TAGS”、“IMPLICIT TAGS”或“AUTOMATIC TAGS”。 例如 RFC 5280 定义了两个模块，一个默认编码为 EXPLICIT，另一个则导入了前一模块，并将默认编码设为 IMPLICIT。 IMPLICIT 编码比 EXPLICIT 编码更短。

AUTOMATIC TAGS 的作用与 IMPLICIT TAGS 相同，只是标签的数值（[0]、[1] 等等）会在必要时自动分配，比如 SEQUENCE 中存在可省略元素的情况。

各种类型的具体编码

我们接下来结合具体示例看看各种类型究竟是如何编码的。

INTEGER 的编码

整数的编码由一个或多个字节组成，采用补码格式，最左侧字节的最高位（即第 8 位）为符号位。 BER 标准中是这样写的：

计算二进制补码的数值时，首先将其各字节的每一位标号，最后一个字节的最低位序号为 0，从这一位开始到第一个字节的最高位序号依次递增， 第 N 位表示的数值为 2^N。 整个二进制补码的值即为所有等于 1 的二进制位表示的数值的总和（除了最高位），再减去最高位表示的数值（如果最高位为 1）。

例如，这个字节（以二进制表示）等于十进制数字 50：

00110010（即十进制的 2⁵ + 2⁴ + 2¹ = 50）

这个字节（以二进制表示）则等于十进制数字 −100：

10011100（即十进制的 2⁴ + 2³ + 2² − 2⁷ = −100）

这五个字节（以二进制表示）等于十进制数字 −549755813887：

10000000 00000000 00000000 00000000 00000001（即十进制的 2⁰ − 2³⁹）

BER 和 DER 都规定整数必须以最短的方式编码。 这一规则是通过以下条件体现的：

……第一个字节的每一位和第二个字节的最高位：

1.  既不能同时为 1；
2.  也不能同时为 0。

第二项条件的大意就是说，如果编码开头存在零字节，那么把它们删去也不会影响数值。 第二个字节的最高位也很重要，因为有些数值的编码开头必须有零字节。 例如，十进制的 255 需要用两个字节编码：

00000000 11111111

因为一个字节 11111111 表示的是 −1（最高位是符号位）。

第一项条件则最好结合实例来看。 比如十进制数字 −128 的编码为：

10000000（即十进制的 −2⁷ = −128）

但是似乎也可以这么编码：

11111111 10000000（还是十进制的 −128，不过是错误的编码）

不难验证，−2¹⁵ + 2¹⁴ + 2¹³ + 2¹² + 2¹¹ + 2¹⁰ + 2⁹ + 2⁸ + 2⁷ = −2⁷ = −128。 注意，1 在单字节的 10000000 中是符号位，但在第二个字节中只代表 2⁷。

这种变换具有普遍性：BER（或 DER）编码的任何一个负数都可以在开头加上 11111111 并保持数值不变。 这称为符号扩展。 反过来说，如果一个负数的编码开头是 11111111，将该字节删去同样不会影响数值。 这就是 BER 与 DER 要求使用最短编码的原因。

INTEGER 采用补码表示对于证书发行影响重大。RFC 5280 规定证书序列号必须是正数， 但最高位必然是符号位，所以 DER 中 8 个字节只能编码 63 位的序列号， 64 位的正数需要 9 个字节才能编码（尽管第一个字节为 0）。

值为 2⁶³+1（恰好是 64 位的正数）的 INTEGER 编码如下：

02 09 00 80 00 00 00 00 00 00 01

字符串的编码

字符串的编码就是其字节序列。 IA5String 和 PrintableString 因为都是 ASCII 的子集，只是范围有所不同，所以它们的编码除了标签以外完全一样。

PrintableString 的“hi”编码为：

13 02 68 69

而 IA5String 的“hi”编码为：

16 02 68 69

UTF8String 也类似，但它能表示的字符更多。 例如，表情“😎”（U+1F60E Smiling Face With Sunglasses）的编码是：

0c 04 f0 9f 98 8e

日期和时间的编码

出人意料的是，UTCTime 和 GeneralizedTime 的编码方式其实和字符串一样。 正如上文“类型”一章所述，UTCTime 表示时间的格式是 YYMMDDhhmmss， GeneralizedTime 则在其基础上将 YY 改成了四位年份 YYYY。 二者最后都可以加上时区，或者加一个 Z 表示协调世界时（UTC）。

例如，太平洋标准时间（PST，即 UTC−8）的 2019 年 12 月 15 日 19:02:10 用 UTCTime 表示为 191215190210-0800， 用 BER 编码就是：

17 11 31 39 31 32 31 35 31 39 30 32 31 30 2d 30 38 30 30

BER 编码中，UTCTime 和 GeneralizedTime 的秒数都可以省略，并且可以使用各种时区。 但在 DER 编码（及 RFC 5280）中，秒数则不能省略，且不能出现小数，时区也只能用 Z，表示协调世界时。

上述时间如果用 DER 编码则是：

17 0d 31 39 31 32 31 36 30 33 30 32 31 30 5a

OBJECT IDENTIFIER 的编码

如上文所述，OID 的实质就是一串整数， 而且至少由两个整数组成。 第一个数必须是 0、1、2 三者之一， 如果是 0 或 1，则第二个数必须小于 40。 因此，前两个数 X 和 Y 可以直接用 40×X+Y 来表示，不会产生歧义。

以 2.999.3 的编码为例，首先要将前两个数合并成 1079（即 40×2+999），得到 1079.3。

完成合并后再用 Base 128 编码，左侧为高位字节。 也就是说，每个字节的最高位设为 1，但最后一个字节最高位设为 0，表示一个整数到此结束。各字节的其余七位从高到低依次相连表示数值。 例如数字 3 就用一个字节 0x03 表示， 而 129 则需要两个字节 0x81 0x01。 每个数字都如此转换成字节后，拼接在一起就形成了 OID 的编码。

无论是在 BER 还是 DER 中，OID 都必须用最短的方式编码。 所以其中每个数字编码时开头都不能出现 0x80 字节。

例如，OID 1.2.840.113549.1.1.11（代表 sha256WithRSAEncryption）的编码是：

06 09 2a 86 48 86 f7 0d 01 01 0b

NULL 的编码

NULL 字段的长度永远为 0，所以它的编码只有标签和长度：

05 00

SEQUENCE 的编码

首先需要注意的是，SEQUENCE 必然是复合字段，因为它的作用就是容纳其他对象。 换句话说，SEQUENCE 中的数据就是其元素各自编码后按定义中的顺序拼接在一起组成的。 因此，SEQUENCE 标签的第 6 位（单一/复合字段位）一定是 1。 虽然 SEQUENCE 本来的标签是 0x10，但在编码中一定会以 0x30 的形式出现。

SEQUENCE 的定义中标为 OPTIONAL 的字段可以省略，省略后就会直接从编码中消失。 读取 SEQUENCE 的内容时，解码器可以根据标签和已读入的元素确定正在读取的是哪个字段。 如果存在歧义，比如有同类型的元素，则在 ASN.1 模块中必须借助编码指令为这些元素分配不同的标签。

标有 DEFAULT 的字段与 OPTIONAL 类似。 如果该字段取默认值，在 BER 编码中就可以予以省略， 而在 DER 编码中则必须省略。

例如，RFC 5280 中的 AlgorithmIdentifier 就是 SEQUENCE 类型：

   AlgorithmIdentifier  ::=  SEQUENCE  {
        algorithm               OBJECT IDENTIFIER,
        parameters              ANY DEFINED BY algorithm OPTIONAL  }

algorithm 为 1.2.840.113549.1.1.11 的 AlgorithmIdentifier 编码如下。 RFC 8017 建议这种算法对应的 parameters 字段应为 NULL。

30 0d 06 09 2a 86 48 86 f7 0d 01 01 0b 05 00

SEQUENCE OF 的编码

SEQUENCE OF 的编码方式与 SEQUENCE 完全相同， 甚至连标签都一样！ 解码时也只有查阅 ASN.1 模块才能确定一个字段究竟是 SEQUENCE 还是 SEQUENCE OF。

例如以下是一个 SEQUENCE OF 对象的编码，其中包含 7、8、9 三个 INTEGER。

30 09 02 01 07 02 01 08 02 01 09

SET 的编码

与 SEQUENCE 一样，SET 也一定是复合字段，其数据总是由若干个字段的编码组成的。 它的标签是 0x11， 但因为单一/复合字段位（第 6 位）必须为 1，所以在编码中实际上是 0x31。

SET 的编码方式也和 SEQUENCE 类似，OPTIONAL 和 DEFAULT 字段如果省略或取默认值就不会出现， 任何由类型相同导致的歧义都需要在 ASN.1 模块中解决，并且取默认值的 DEFAULT 字段在 DER 编码中必须省略。

BER 编码对 SET 中元素的顺序没有要求， 但在 DER 中各元素必须按标签值升序排列。

SET OF 的编码

SET OF 的编码方式和 SET 一样，标签也是 0x31。 DER 编码同样规定 SET OF 中的字段要按升序排列。 因为 SET OF 中所有元素的类型都一样，仅靠标签排序是不够的。 所以 SET OF 中的元素以编码后的字节序为准，编码较短的就先在最后补齐零字节再作排序。

BIT STRING 的编码

一个 N 位的 BIT STRING 用 N/8 个字节（向上取整）来编码，开头还有一个字节的前缀，当 N 不是 8 的倍数时可以指明最后有几个二进制位是无用的。 例如，编码 18 个二进制位 011011100101110111 至少需要三个字节， 但三个字节其实足以存放 24 个二进制位， 有 6 位是用不上的。 这 6 位就放在末尾，于是最终编码为：

03 04 06 6e 5d c0

在 BER 中这些无用的二进制位可以取任意值，所以最后一个字节也可以是 c1、c2、c3 等等。 DER 则要求无用的位都必须为 0。

OCTET STRING 的编码

OCTET STRING 的编码就是其中包含的所有字节。 例如，包含四个字节 03 02 06 A0 的 OCTET STRING 的编码为：

04 04 03 02 06 A0

CHOICE 和 ANY 的编码

CHOICE 和 ANY 的编码与其最终表示的实际类型一致，但也可以通过编码指令更改。 假如一份 ASN.1 相关规范要求某一个 CHOICE 字段必须是 INTEGER 或 UTCTime，而现在该字段恰好属于 INTEGER，那就按 INTEGER 编码即可。

但实际应用中 CHOICE 往往都有编码指令。 比如在 RFC 5280 的下列定义中，rfc822Name 和 dNSName 的类型都是 IA5String，只有靠编码指令才能区分。

   GeneralName ::= CHOICE {
        otherName                       [0]     OtherName,
        rfc822Name                      [1]     IA5String,
        dNSName                         [2]     IA5String,
        x400Address                     [3]     ORAddress,
        directoryName                   [4]     Name,
        ediPartyName                    [5]     EDIPartyName,
        uniformResourceIdentifier       [6]     IA5String,
        iPAddress                       [7]     OCTET STRING,
        registeredID                    [8]     OBJECT IDENTIFIER }

举例来说，如果一个 GeneralName 里包含的是 rfc822Name，值为 a@example.com，则编码如下（回忆一下，[1] 表示标签值为 1，类别为特定语境标签，即第 8 位为 1，并且标签编码方式为 IMPLICIT）：

81 0d 61 40 65 78 61 6d 70 6c 65 2e 63 6f 6d

如果 GeneralName 里包含的是 dNSName，值为“example.com”，编码则是：

82 0b 65 78 61 6d 70 6c 65 2e 63 6f 6d

安全性

解码 BER 和 DER 格式时必须格外小心，尤其是在 C、C++ 等非内存安全的编程语言中。 各种解码器的安全漏洞可谓罄竹难书， 而解析用户输入本身就是安全问题的一大来源。 ASN.1 编码与漏洞近乎如影随形， 毕竟这种格式颇为复杂，各种不定长度的字段不计其数， 连长度字段本身都没有固定长度！ 另一方面，ASN.1 格式的数据又往往来自潜在的攻击者， 所以如果要靠数字证书验证用户身份，不能光考虑如何解码正确的证书，还得应对五花八门的恶意输入，以免 ASN.1 代码中存在漏洞而被攻陷。

面对这些问题，最好的解决办法就是尽可能使用内存安全的编程语言， 并且无论能否使用这类语言，都应当借助现成的 ASN.1 编译器生成解析程序，而非闭门造车，自行编写解码器。

致谢

首先我要向 A Layman’s Guide to a Subset of ASN.1, DER, and BER 致以诚挚的敬意，本文中的大部分知识我都是从这份材料中学到的。 我还要感谢另一篇佳作 A warm welcome to DNS 的作者，其文风也奠定了本文的笔法基调。

一点题外话

你可曾注意到 PEM 编码的证书开头都是“MII”？ 例如：

-----BEGIN CERTIFICATE-----

MIIFajCCBFKgAwIBAgISA6HJW9qjaoJoMn8iU8vTuiQ2MA0GCSqGSIb3DQEBCwUA
...

现在你已经能解释原因了！ 证书本身是一个 SEQUENCE 结构，所以第一个字节是 0x30。 接下来是长度字段， 绝大多数证书都不止 127 个字节，所以需要采用长编码， 也就是说第一个字节是 0x80 + N，意味着后面还有 N 个字节表示长度。 N 一般都是 2，因为大多数证书的长度都在 128 至 65535 个字节之间，只需要两个字节表示。

于是我们可以得知 DER 格式的证书前两个字节是 0x30 0x82。 但 PEM 采用了 Base64 编码，将每 3 个二进制字节转换成 4 个 ASCII 字符。 换句话说，Base64 是将 24 个二进制位写成 4 个 ASCII 字符，每个字符表示 6 个二进制位。 我们已经知道证书的前 16 位是什么了， 要证明（几乎）所有证书开头都是“MII”，还需确定接下来的两个二进制位。 这两位正是长度字节的最高位， 它们会是 1 吗？ 那这个证书就非得超过 16383 个字节不可！ 由此我们可以断定 PEM 证书开头的几个字符都是相同的。 你不妨也试试看：

xxd -r -p <<<308200 | base64

本文以轻松的笔触介绍了 HTTPS 证书背后的数据结构和格式， 只要稍有计算机科学知识并对数字证书略知一二就不难理解。

HTTPS 证书是一种文件，与任何其他文件一样。 它的具体格式是由 RFC 5280 规定的， 该标准采用了一门名为 ASN.1 的语言，专门用于定义文件格式，也可以说是定义数据结构。 譬如，C 语言是这样定义数据结构的：

struct point {
  int x, y;
  char label[10];
};

Go 语言则是这样定义的：

type point struct {
  x, y int
  label string
}

而写成 ASN.1 就会是这样：

Point ::= SEQUENCE {
  x INTEGER,
  y INTEGER,
  label UTF8String
}

与 Go 和 C 的语法相比，ASN.1 的优势在于它不依赖某一门特定的编程语言， 任何语言都可以根据上述 ASN.1 定义实现 Point 结构。不仅如此，借助工具还可以将 ASN.1 定义自动转换成你想使用的语言。 在 ASN.1 中，一系列相关的定义称为一个“模块”。

ASN.1 的另一特点在于它有各种序列化格式，也就是说数据可以从内存导出成一串字节（或存入文件中），也可以由一串字节反过来导入内存。 因此任何一台设备生成的证书其他设备都能正常读取，无需顾忌 CPU 和操作系统的差异。

还有一些语言也能起到与 ASN.1 同样的作用。 例如，Protocol Buffers 也提供了一门定义类型的语言，以及负责将各类对象编码的序列化格式。 Thrift 同样具备类似的语言和序列化格式。 Protocol Buffers 和 Thrift 完全可以胜任定义 HTTPS 证书的职责，只不过 ASN.1 早在 1984 年就已诞生，对于数字证书（1988 年）和 HTTPS（1994 年）技术来说具备先天优势。

多年来 ASN.1 标准几经修订，各修订版本通常以发布年份加以区分。 本文介绍 ASN.1 旨在帮助读者准确理解 RFC 5280 及其他 HTTPS 证书相关标准，所以我们将着重探讨 1988 年版，并简要提及后续版本引入的功能。 各版本的标准文档可以直接在国际电信联盟（ITU）的网站上下载，不过部分文件只对 ITU 成员开放。 相关标准包括 X.680（定义了 ASN.1 语言）和 X.690（定义了 DER 和 BER 序列化格式）， 其前身分别是 X.208 与 X.209。

ASN.1 最主要的序列化格式称为 Distinguished Encoding Rules (DER)。 它是对 Basic Encoding Rules (BER) 格式加以严格规范化而成的一种变体。 例如，在 DER 格式中，即使是集合类型（SET OF）的元素也必须有序排列。

DER 格式的证书通常会进一步转换成 PEM 格式，这一过程采用 Base64 编码将二进制字节转化为一连串的字母、数字、“+”和“/”符号，并在头尾加入“—–BEGIN CERTIFICATE—–”与“—–END CERTIFICATE—–”两行文字以示分隔。 PEM 格式的优点在于方便复制与粘贴。

本文将首先介绍 ASN.1 使用的类型与语法，然后再介绍 ASN.1 定义的对象是如何编码的。 读者不妨随时翻阅前后章节，毕竟 ASN.1 语言的部分功能直接决定了其编码方式。 本文倾向使用更为通行的术语，如用“字节”而非“八位组”，用“数值”而非“内容”。 “序列化”与“编码”则作为同义词使用。

类型

INTEGER

就是老生常谈的整数。 可以是正数，也可以是负数。 ASN.1 的 INTEGER 类型最为特别之处在于大小不限。 int64 不够大？ 小事一桩。 这对于表示 RSA 模数之类远超 int64 范围的整数（比如 2²⁰⁴⁸）尤为有用。 严格说来 DER 格式的整数范围是有上限的，但上限极高：任何 DER 字段的长度必须能够用 126 个字节来表示。 因此，DER 能表示的最大的 INTEGER 数值是 256^(2**1008)−1。 真正无限大的 INTEGER 必须用 BER 编码，因为 BER 对字段长度没有限制。

字符串

ASN.1 有很多字符串类型：BMPString、GeneralString、GraphicString、IA5String、ISO646String、NumericString、PrintableString、TeletexString、T61String、UniversalString、UTF8String、VideotexString，还有 VisibleString。 对于 HTTPS 证书来说基本只需要关心 PrintableString、UTF8String 和 IA5String。 ASN.1 模块定义字段的时候也会定义其应当使用的字符串类型。 例如：

CPSuri ::= IA5String

PrintableString 只能存储 ASCII 中的部分字符，包括字母、数字、空格以及一些特定的符号：' () + , - . / : = ?。 注意其中不包括 * 和 @。 虽然允许使用的字符有限，但在存储空间上并无优势。

某些字段，例如 RFC 5280 中的 DirectoryString，有多种字符串类型可供选择。 由于 DER 编码会将字符串的类型信息一并存储，使用 PrintableString 这类字符串时务必确保其内容符合类型要求。

IA5String 源自 International Alphabet No. 5，限制较为宽松，所有 ASCII 字符几乎都能使用，在证书中常用于邮箱地址、DNS 域名、网址之类的字段。 需要注意的是 IA5 编码中有部分数值的含义与 US-ASCII 并不相同。

TeletexString、BMPString 和 UniversalString 对 HTTPS 证书来说都已过时，建议不再使用。但一些历史悠久的证书可能在其过时之前就已颁布，因此还能发现它们的身影，需要予以解析。

与 C 和 C++ 语言中的字符串不同，ASN.1 的字符串不以空字符结尾。 事实上，字符串中出现空字符也是完全符合规范的。 如果两套系统采取不同方式读取同一 ASN.1 字符串，就可能出现安全漏洞。 例如，过去攻击者只要持有 evil.com 域名，就能诱使某些证书颁发机构为“example.com\0.evil.com”颁发证书。 当时的证书验证软件会认为这一证书对 example.com 也是有效的。 在 C 和 C++ 中处理 ASN.1 字符串必须加倍小心，避免产生安全漏洞。

日期和时间

时间类型也有不少：UTCTime、GeneralizedTime、DATE、TIME-OF-DAY、DATE-TIME 以及 DURATION。 但在 HTTPS 证书中只需关心 UTCTime 和 GeneralizedTime。

UTCTime 采用 YYMMDDhhmm[ss] 的格式表示日期和时间，末尾还可以加上时区，或者加上“Z”表示协调世界时（UTC）。 例如，UTCTime 的 820102120000Z 和 820102070000-0500 表示同一时刻：1982 年 1 月 2 日纽约（UTC−5）的早晨七点，即协调世界时的正午十二点。

因为 UTCTime 没有写明是 20 世纪还是 21 世纪，RFC 5280 补充规定了其范围是 1950 至 2050 年。 RFC 5280 还规定时区必须为“Z”，且秒数不能省略。

GeneralizedTime 用四位数字表示年份，从而得以支持 2050 年以后的日期。 它还允许秒数出现小数（而且句点和逗号竟然都可以作为小数点）。 RFC 5280 又禁止了秒数出现小数，并要求时区为“Z”。

OBJECT IDENTIFIER

Object identifier (OID) 是一种全球唯一的层状标识符，由一串整数组成。 它可以用来标识任何东西，但通常用于指代标准、算法、证书扩展、组织机构或政策文件。 例如 1.2.840.113549 表示的是 RSA 安全公司， 因此该公司有权分配以这一串数字开头的 OID，比如 RFC 8017 定义的 1.2.840.113549.1.1.11 表示 sha256WithRSAEncryption。

类似地，1.3.6.1.4.1.11129 指的是 Google 公司，Google 则在 RFC 6962 中将 1.3.6.1.4.1.11129.2.4.2 分配给了证书透明化系统中的 SCT 列表扩展，因为该系统最初便是由 Google 研发的。

同一前缀下的所有 OID 在英文中又称为 OID arc。 OID 越短，占据的空间就越小，价值也就越高，对于大量使用 OID 的格式尤为如此。 OID 前缀 2.5 分配给了 Directory Services，指的是一系列的标准文档，在 HTTPS 证书中处于核心地位的 X.509 标准也位列其中。 证书中有很多字段用的都是这个简短的前缀。 例如，2.5.4.6 表示国家名称（countryName），2.5.4.10 则表示机构名称（organizationName）。 这些 OID 在绝大多数证书中至少都会出现一次，自然越短越好。

标准文件中的 OID 常用英文词汇表示以便阅读，有时还会拼接形成新的 OID。 以 RFC 8017 为例：

   pkcs-1    OBJECT IDENTIFIER ::= {
       iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) 1
   }
   ...

   sha256WithRSAEncryption      OBJECT IDENTIFIER ::= { pkcs-1 11 }

NULL

NULL 就是 NULL，懂了吧？

SEQUENCE 和 SEQUENCE OF

别被名字给骗了，这是两种截然不同的类型。 SEQUENCE 相当于大多数编程语言中的 struct 类型， 用于存放若干不同类型的固定字段。 参见下文的证书示例。

SEQUENCE OF 表示的则是任意数量同一类型的字段， 相当于编程语言中的数组或列表。 例如：

   RDNSequence ::= SEQUENCE OF RelativeDistinguishedName

可以是 0 个、1 个乃至 7000 个 RelativeDistinguishedName，并且按某种特定顺序排列。

不过 SEQUENCE 和 SEQUENCE OF 还是有相似之处的：二者的编码完全相同！ 这一点留到探讨编码时再详细介绍。

SET 和 SET OF

这两种类型与 SEQUENCE 和 SEQUENCE OF 基本相同，只是强调其中元素的顺序无关紧要。 但是在编码前必须先予以排序。 例如：

RelativeDistinguishedName ::=
  SET SIZE (1..MAX) OF AttributeTypeAndValue

注意：本例使用了 SIZE 关键字要求 RelativeDistinguishedName 中至少应有一个元素，但通常 SET 和 SET OF 都可以为空。

BIT STRING 和 OCTET STRING

前者表示一段任意的二进制位，而后者表示一段任意的字节。 这两种类型可以存放无特殊结构的数据，比如密码学中的 nonce 和散列值。 它们也可以当作 C 语言中的 void 指针或 Go 语言中的空接口（interface{}）使用，表示数据虽然存在内部结构，但该结构只在别处定义，与 ASN.1 的类型系统无关。 例如，证书的数字签名就是用 BIT STRING 定义的：

Certificate  ::=  SEQUENCE  {
     tbsCertificate       TBSCertificate,
     signatureAlgorithm   AlgorithmIdentifier,
     signature            BIT STRING  }

新版的 ASN.1 语言还支持详细规定 BIT STRING 的内容，OCTET STRING 亦然。

CHOICE 和 ANY

CHOICE 表示可以使用其定义中列出的任意一种类型。 例如，下方的 Time 要么是 UTCTime，要么是 GeneralizedTime：

Time ::= CHOICE {
     utcTime        UTCTime,
     generalTime    GeneralizedTime }

ANY 表示允许使用任意类型。 但实际中通常还有一些 ASN.1 语法难以表达的限制。 例如：

   AttributeTypeAndValue ::= SEQUENCE {
     type     AttributeType,
     value    AttributeValue }

   AttributeType ::= OBJECT IDENTIFIER

   AttributeValue ::= ANY -- DEFINED BY AttributeType

ANY 在协议的扩展机制中扮演了重要的角色。它为将来新增字段留出了余地，协议的主体规范发布后不必反复修订，新字段只需注册新的类型（用 OID 表示），并随之定义具体的字段格式即可。

需要注意的是 ANY 属于 ASN.1 从 1988 年遗留下来的类型。 1994 年 ANY 就已经被废弃，取而代之的是 Information Object Class，这是一种规范化的扩展定义方式，弥补了 ANY 的不足。 现如今这一改变已经相当彻底，2015 年版的 ASN.1 标准甚至连 ANY 的字样都没有出现。 但是如果回过头看 1994 年版还是可以找到有关这一变动的探讨。 此处介绍这种旧式语法是因为 RFC 5280 仍在使用， RFC 5912 则把 RFC 5280 及相关标准中的类型都转换成了 2002 年的 ASN.1 格式。

其他语法

以 -- 开头的文字是注释。 SEQUENCE 和 SET 类型的字段标注 OPTIONAL 表示可以省略，或者标注 DEFAULT foo 表示省略后的默认值为 foo。 具有长度的类型（字符串、OCTET STRING、BIT STRING、SET OF、SEQUENCE OF）可以通过 SIZE 参数限定长度必须在某一范围内或恰为某个数。

类型定义结尾可以使用花括号限定该类型只能取某些值。 例如此处定义 Version 字段只能取三个值中的一个，并对这三个值分别赋予了含义：

Version ::= INTEGER { v1(0), v2(1), v3(2) }

这种方法也常用于标识 OID 的名称。注意此时没有用逗号，因此表示的是一个整体，而非可供选择的多个值。 以 RFC 5280 为例：

id-pkix  OBJECT IDENTIFIER  ::=
         { iso(1) identified-organization(3) dod(6) internet(1)
                    security(5) mechanisms(5) pkix(7) }

接下来还会出现 [数字]、IMPLICIT、EXPLICIT、UNIVERSAL、APPLICATION 等语法要素， 这些语法关系到编码细节，我们将在下文探讨。

编码

ASN.1 有很多种编码：BER、DER、PER、XER 等等。 BER (Basic Encoding Rules) 是一种很灵活的编码， DER (Distinguished Encoding Rules) 则在 BER 的基础上加入了规范化的规则，从而保证同样的信息编码方式也是唯一的。 PER (Packed Encoding Rules) 编码更为紧凑，适合对存储空间或传输速度要求较高的场景。 XER (XML Encoding Rules) 则在需要使用 XML 的情况下能够派上用场。

HTTPS 证书通常采用 DER 编码。 用 BER 也是可以的，但是数字签名必须根据 DER 编码计算，和证书的实际编码方式无关，所以用 BER 相当于自讨苦吃。 本文以介绍 BER 为主，并随之说明 DER 在其基础上施加的额外规定。

阅读本章时建议在另一窗口打开这个实际证书解码示例，方便对照。

类型–长度–数据

与 Protocol Buffers 和 Thrift 一样，BER 的编码形式称为“类型–长度–数据”（type–length–value，常缩写为 TLV）。 也就是说，如果按顺序读取 BER 编码的每个字节，首先读取到的是类型信息，在 ASN.1 中称为“标签”。 标签可以有一个或多个字节，表示存储的是哪种数据，例如 INTEGER、UTF8String 等等。

接下来出现的是长度，表示数据究竟有多少个字节。 再接下来自然就是数据本身了。 例如，以十六进制表示的字节 02 03 01 00 01 表示一个 INTEGER（02 就是 INTEGER 类型对应的标签），长度是 03，后面的 3 个字节 01 00 01 则是数据。

与类型–长度–数据的编码方式不同，JSON、CSV、XML 等格式通过分隔符实现编码，也就是事先并不知道数据的长度，出现特定的分隔符（比如 JSON 中的 } 和 XML 中的 </some-tag>）便表示数据结束。

标签

标签通常只有一个字节。 如果使用多个字节还可以编码任意大小的标签，但通常没有这个必要。

以下是一些常见的标签：

这些标签都属于“通用”标签（universal tags），由 ASN.1 核心规范定义，在所有 ASN.1 模块中都有着相同的含义。此外还有一些无关紧要的通用标签，这里略去不表。

这些标签的值都小于 31（0x1F），其实是有原因的。第 8、7、6 位（也就是标签字节的最高三位）有着特殊含义，所以大于 31 的通用标签只能用多字节标签表示。 有一小部分通用标签的值大于 31，但是数量很少。

标 * 的两个标签在编码中一定是 0x30 和 0x31，因为第 6 位表示该字段是单一字段还是复合字段。 这两种类型必然是复合字段，所以第 6 位只能是 1。 详见单一字段与复合字段的说明。

标签类别

通用标签把“好用”的数字都用光了，但这并不妨碍我们定义自己的标签。 除了通用标签外还有三种标签：程序内部标签、特定语境标签和私有标签。 标签类别可通过第 7 位和第 8 位区分：

标准规范中使用的大多是通用标签，因为通用标签已经涵盖了所有常用数据结构。 例如，证书序列号就是用朴实无华的 INTEGER 类型编码的，标签值为 0x02。 但有时标准中也需要定义特定语境标签来区分 SET 和 SEQUENCE 中的可省略元素，或者区分 CHOICE 中同类型的选项。 以下述定义为例：

Point ::= SEQUENCE {
  x INTEGER OPTIONAL,
  y INTEGER OPTIONAL
}

OPTIONAL 字段如果省略，在编码中就完全不存在，这样一来只有 x 坐标和只有 y 坐标的 Point 就无法区分。 例如，一个只声明 x 坐标为 9 的 Point 编码如下（30 是 SEQUENCE 的标签）：

30 03 02 01 09

这是一个长度为 3（字节）的 SEQUENCE，包含一个长度为 1 的 INTEGER 元素，且其数值为 9。 但一个 y 坐标为 9 的 Point 也得这么编码，于是就出现了歧义。

编码指令

为避免出现歧义，标准规范需要通过编码指令为每个字段分配互不相同的标签。 既然通用标签不能随意改变含义，我们只好改用其他类别，比如程序内部标签：

Point ::= SEQUENCE {
  x [APPLICATION 0] INTEGER OPTIONAL,
  y [APPLICATION 1] INTEGER OPTIONAL
}

不过这种情形下最常用的还是特定语境标签，表示方法就是方括号内只有一个数字：

Point ::= SEQUENCE {
  x [0] INTEGER OPTIONAL,
  y [1] INTEGER OPTIONAL
}

这样一来，只声明 x 坐标为 9 的 Point 编码时便不再用 INTEGER 的通用标签，而是将标签的第 8 和第 7 位分别改为 1 和 0，表示特定语境标签，其他低位设为 0，得到以下编码：

30 03 80 01 09

y 坐标为 9 的 Point 编码方式如出一辙，只不过低位要设为 1：

30 03 81 01 09

x 和 y 坐标都为 9 的 Point 则可以编码如下：

30 06 80 01 09 81 01 09

长度

类型–长度–数据中的长度指的一定是数据的字节数，数据中嵌套的所有字段也包含在内。 因此，只含有一个元素的 SEQUENCE 长度也不是 1，而是该元素编码后有多少个字节。

长度也有两种编码方式：短编码和长编码。 短编码就是一个字节，取值范围是 0 到 127。

长编码则至少有两个字节。第一个字节的第 8 位必须为 1， 其余 7 位表示这个长度字段还有几个字节。 接下来就是一个多字节整数，给出了长度的具体数值。

可想而知，这样得到的长度值可以非常大。 长度最大时第一个字节是 254（255 是保留值，供将来扩展使用），表示这个长度字段内还有足足 126 个字节。 如果这 126 个字节都是 255，那么实际数据的长度会达到 2¹⁰⁰⁸−1 字节（超过 10²⁹⁴ GB）。

此外，同一长度值的长编码并不唯一，比如一个字节的数字可以拿两个字节表示，短编码就能表示的数字也可以用长编码。 所以 DER 规定必须采用最短的编码方式。

安全警示：不要轻信长度字段的值！ 举例来说，待解码的数据流究竟有没有该字段显示的那么长还是需要核实的。

不定长编码

在 BER 中，字符串、SEQUENCE、SEQUENCE OF、SET 和 SET OF 类型的字段即使事先不知道长度也可以直接编码，通过数据流输出就可以采用这种方式。 具体方法是将长度字段设为一个字节 0x80，数据中连续存放若干个编码后的字段，最后以两个字节 00 00（可以认为是一个标签和长度都为 0 的字段）结尾。 例如，UTF8String 的不定长编码就是若干个 UTF8String 拼接在一起，然后在末尾加上 00 00。

不定长编码还可以任意嵌套。 例如，在 UTF8String 的不定长编码中，待拼接的每一段 UTF8String 本身也可以选用定长或不定长编码。

作为长度的 0x80 字节并不存在歧义，因为它既不是短编码，也不是长编码。 它的第 8 位是 1，按理说应该是长编码，其余 7 位表示还有多少个字节。 但这 7 位都是 0，说明长度要用 0 个字节来表示，这是不允许的。

DER 禁止使用不定长编码， 所以必须使用定长编码，提前写明数据的实际长度。

单一字段与复合字段

标签中第一个字节的第 6 位表示该字段是单一（primitive）字段还是复合（constructed）字段。 单一字段中存储的就是数据本身，比如 UTF8String 的数据就是经过 UTF-8 编码的字符串。 复合字段存储的则是若干其他字段，经过编码后拼接在一起。 例如“不定长编码”一节中提到的不定长 UTF8String 就会有多个 UTF8String 字段（各有标签和长度）编码后连在一起，形成复合字段。 复合字段的长度便是拼接后各字段的总字节数。 复合字段可以采用定长或不定长编码， 而单一字段只能用定长编码，因为其数据中没有其他字段，也就无法表明数据该在哪里结束。

INTEGER、OBJECT IDENTIFIER 和 NULL 类型必须是单一字段， 而 SEQUENCE、SEQUENCE OF、SET 和 SET OF 类型必须是复合字段（因为它们的作用本来就是存放多个元素）。 BIT STRING、OCTET STRING、UTCTime、GeneralizedTime 还有各种字符串类型既可以是单一字段，也可以是复合字段，在 BER 中编码者可以自行决定， 但在 DER 中凡是单一、复合均可的类型都必须用单一字段。

EXPLICIT 与 IMPLICIT

前面提到的 [1]、[APPLICATION 8] 等编码指令还可以加上 EXPLICIT 或 IMPLICIT 关键字。以 RFC5280 为例：

TBSCertificate  ::=  SEQUENCE  {
     version         [0]  Version DEFAULT v1,
     serialNumber         CertificateSerialNumber,
     signature            AlgorithmIdentifier,
     issuer               Name,
     validity             Validity,
     subject              Name,
     subjectPublicKeyInfo SubjectPublicKeyInfo,
     issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3
     subjectUniqueID [2]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3
     extensions      [3]  Extensions OPTIONAL
                          -- If present, version MUST be v3 --  }

这两个关键字定义的是标签的编码方式，与标签值是明确写出还是自动分配无关。事实上使用这两个关键字时都必须在方括号中写明标签的值。 IMPLICIT 字段的编码方式与其原始类型相同，只是标签的值和类别由方括号中的内容决定。 EXPLICIT 字段则需要先将数据按原始类型编码，再将编码结果套入另一字段中。 外层字段的标签值和类别再由方括号中的内容决定，而且一定是复合字段。

例如，若在 ASN.1 的编码指令中加上 IMPLICIT：

[5] IMPLICIT UTF8String

那么字符串“hi”会被编码为：

85 02 68 69

但如果在 ASN.1 的编码指令中加上 EXPLICIT：

[5] EXPLICIT UTF8String

则字符串“hi”会被编码为：

A5 04 0C 02 68 69

如果 IMPLICIT 和 EXPLICIT 关键字都没有出现，默认编码为 EXPLICIT，除非该模块开头指定了“EXPLICIT TAGS”、“IMPLICIT TAGS”或“AUTOMATIC TAGS”。 例如 RFC 5280 定义了两个模块，一个默认编码为 EXPLICIT，另一个则导入了前一模块，并将默认编码设为 IMPLICIT。 IMPLICIT 编码比 EXPLICIT 编码更短。

AUTOMATIC TAGS 的作用与 IMPLICIT TAGS 相同，只是标签的数值（[0]、[1] 等等）会在必要时自动分配，比如 SEQUENCE 中存在可省略元素的情况。

各种类型的具体编码

我们接下来结合具体示例看看各种类型究竟是如何编码的。

INTEGER 的编码

整数的编码由一个或多个字节组成，采用补码格式，最左侧字节的最高位（即第 8 位）为符号位。 BER 标准中是这样写的：

计算二进制补码的数值时，首先将其各字节的每一位标号，最后一个字节的最低位序号为 0，从这一位开始到第一个字节的最高位序号依次递增， 第 N 位表示的数值为 2^N。 整个二进制补码的值即为所有等于 1 的二进制位表示的数值的总和（除了最高位），再减去最高位表示的数值（如果最高位为 1）。

例如，这个字节（以二进制表示）等于十进制数字 50：

00110010（即十进制的 2⁵ + 2⁴ + 2¹ = 50）

这个字节（以二进制表示）则等于十进制数字 −100：

10011100（即十进制的 2⁴ + 2³ + 2² − 2⁷ = −100）

这五个字节（以二进制表示）等于十进制数字 −549755813887：

10000000 00000000 00000000 00000000 00000001（即十进制的 2⁰ − 2³⁹）

BER 和 DER 都规定整数必须以最短的方式编码。 这一规则是通过以下条件体现的：

……第一个字节的每一位和第二个字节的最高位：

1.  既不能同时为 1；
2.  也不能同时为 0。

第二项条件的大意就是说，如果编码开头存在零字节，那么把它们删去也不会影响数值。 第二个字节的最高位也很重要，因为有些数值的编码开头必须有零字节。 例如，十进制的 255 需要用两个字节编码：

00000000 11111111

因为一个字节 11111111 表示的是 −1（最高位是符号位）。

第一项条件则最好结合实例来看。 比如十进制数字 −128 的编码为：

10000000（即十进制的 −2⁷ = −128）

但是似乎也可以这么编码：

11111111 10000000（还是十进制的 −128，不过是错误的编码）

不难验证，−2¹⁵ + 2¹⁴ + 2¹³ + 2¹² + 2¹¹ + 2¹⁰ + 2⁹ + 2⁸ + 2⁷ = −2⁷ = −128。 注意，1 在单字节的 10000000 中是符号位，但在第二个字节中只代表 2⁷。

这种变换具有普遍性：BER（或 DER）编码的任何一个负数都可以在开头加上 11111111 并保持数值不变。 这称为符号扩展。 反过来说，如果一个负数的编码开头是 11111111，将该字节删去同样不会影响数值。 这就是 BER 与 DER 要求使用最短编码的原因。

INTEGER 采用补码表示对于证书发行影响重大。RFC 5280 规定证书序列号必须是正数， 但最高位必然是符号位，所以 DER 中 8 个字节只能编码 63 位的序列号， 64 位的正数需要 9 个字节才能编码（尽管第一个字节为 0）。

值为 2⁶³+1（恰好是 64 位的正数）的 INTEGER 编码如下：

02 09 00 80 00 00 00 00 00 00 01

字符串的编码

字符串的编码就是其字节序列。 IA5String 和 PrintableString 因为都是 ASCII 的子集，只是范围有所不同，所以它们的编码除了标签以外完全一样。

PrintableString 的“hi”编码为：

13 02 68 69

而 IA5String 的“hi”编码为：

16 02 68 69

UTF8String 也类似，但它能表示的字符更多。 例如，表情“😎”（U+1F60E Smiling Face With Sunglasses）的编码是：

0c 04 f0 9f 98 8e

日期和时间的编码

出人意料的是，UTCTime 和 GeneralizedTime 的编码方式其实和字符串一样。 正如上文“类型”一章所述，UTCTime 表示时间的格式是 YYMMDDhhmmss， GeneralizedTime 则在其基础上将 YY 改成了四位年份 YYYY。 二者最后都可以加上时区，或者加一个 Z 表示协调世界时（UTC）。

例如，太平洋标准时间（PST，即 UTC−8）的 2019 年 12 月 15 日 19:02:10 用 UTCTime 表示为 191215190210-0800， 用 BER 编码就是：

17 11 31 39 31 32 31 35 31 39 30 32 31 30 2d 30 38 30 30

BER 编码中，UTCTime 和 GeneralizedTime 的秒数都可以省略，并且可以使用各种时区。 但在 DER 编码（及 RFC 5280）中，秒数则不能省略，且不能出现小数，时区也只能用 Z，表示协调世界时。

上述时间如果用 DER 编码则是：

17 0d 31 39 31 32 31 36 30 33 30 32 31 30 5a

OBJECT IDENTIFIER 的编码

如上文所述，OID 的实质就是一串整数， 而且至少由两个整数组成。 第一个数必须是 0、1、2 三者之一， 如果是 0 或 1，则第二个数必须小于 40。 因此，前两个数 X 和 Y 可以直接用 40×X+Y 来表示，不会产生歧义。

以 2.999.3 的编码为例，首先要将前两个数合并成 1079（即 40×2+999），得到 1079.3。

完成合并后再用 Base 128 编码，左侧为高位字节。 也就是说，每个字节的最高位设为 1，但最后一个字节最高位设为 0，表示一个整数到此结束。各字节的其余七位从高到低依次相连表示数值。 例如数字 3 就用一个字节 0x03 表示， 而 129 则需要两个字节 0x81 0x01。 每个数字都如此转换成字节后，拼接在一起就形成了 OID 的编码。

无论是在 BER 还是 DER 中，OID 都必须用最短的方式编码。 所以其中每个数字编码时开头都不能出现 0x80 字节。

例如，OID 1.2.840.113549.1.1.11（代表 sha256WithRSAEncryption）的编码是：

06 09 2a 86 48 86 f7 0d 01 01 0b

NULL 的编码

NULL 字段的长度永远为 0，所以它的编码只有标签和长度：

05 00

SEQUENCE 的编码

首先需要注意的是，SEQUENCE 必然是复合字段，因为它的作用就是容纳其他对象。 换句话说，SEQUENCE 中的数据就是其元素各自编码后按定义中的顺序拼接在一起组成的。 因此，SEQUENCE 标签的第 6 位（单一/复合字段位）一定是 1。 虽然 SEQUENCE 本来的标签是 0x10，但在编码中一定会以 0x30 的形式出现。

SEQUENCE 的定义中标为 OPTIONAL 的字段可以省略，省略后就会直接从编码中消失。 读取 SEQUENCE 的内容时，解码器可以根据标签和已读入的元素确定正在读取的是哪个字段。 如果存在歧义，比如有同类型的元素，则在 ASN.1 模块中必须借助编码指令为这些元素分配不同的标签。

标有 DEFAULT 的字段与 OPTIONAL 类似。 如果该字段取默认值，在 BER 编码中就可以予以省略， 而在 DER 编码中则必须省略。

例如，RFC 5280 中的 AlgorithmIdentifier 就是 SEQUENCE 类型：

   AlgorithmIdentifier  ::=  SEQUENCE  {
        algorithm               OBJECT IDENTIFIER,
        parameters              ANY DEFINED BY algorithm OPTIONAL  }

algorithm 为 1.2.840.113549.1.1.11 的 AlgorithmIdentifier 编码如下。 RFC 8017 建议这种算法对应的 parameters 字段应为 NULL。

30 0d 06 09 2a 86 48 86 f7 0d 01 01 0b 05 00

SEQUENCE OF 的编码

SEQUENCE OF 的编码方式与 SEQUENCE 完全相同， 甚至连标签都一样！ 解码时也只有查阅 ASN.1 模块才能确定一个字段究竟是 SEQUENCE 还是 SEQUENCE OF。

例如以下是一个 SEQUENCE OF 对象的编码，其中包含 7、8、9 三个 INTEGER。

30 09 02 01 07 02 01 08 02 01 09

SET 的编码

与 SEQUENCE 一样，SET 也一定是复合字段，其数据总是由若干个字段的编码组成的。 它的标签是 0x11， 但因为单一/复合字段位（第 6 位）必须为 1，所以在编码中实际上是 0x31。

SET 的编码方式也和 SEQUENCE 类似，OPTIONAL 和 DEFAULT 字段如果省略或取默认值就不会出现， 任何由类型相同导致的歧义都需要在 ASN.1 模块中解决，并且取默认值的 DEFAULT 字段在 DER 编码中必须省略。

BER 编码对 SET 中元素的顺序没有要求， 但在 DER 中各元素必须按标签值升序排列。

SET OF 的编码

SET OF 的编码方式和 SET 一样，标签也是 0x31。 DER 编码同样规定 SET OF 中的字段要按升序排列。 因为 SET OF 中所有元素的类型都一样，仅靠标签排序是不够的。 所以 SET OF 中的元素以编码后的字节序为准，编码较短的就先在最后补齐零字节再作排序。

BIT STRING 的编码

一个 N 位的 BIT STRING 用 N/8 个字节（向上取整）来编码，开头还有一个字节的前缀，当 N 不是 8 的倍数时可以指明最后有几个二进制位是无用的。 例如，编码 18 个二进制位 011011100101110111 至少需要三个字节， 但三个字节其实足以存放 24 个二进制位， 有 6 位是用不上的。 这 6 位就放在末尾，于是最终编码为：

03 04 06 6e 5d c0

在 BER 中这些无用的二进制位可以取任意值，所以最后一个字节也可以是 c1、c2、c3 等等。 DER 则要求无用的位都必须为 0。

OCTET STRING 的编码

OCTET STRING 的编码就是其中包含的所有字节。 例如，包含四个字节 03 02 06 A0 的 OCTET STRING 的编码为：

04 04 03 02 06 A0

CHOICE 和 ANY 的编码

CHOICE 和 ANY 的编码与其最终表示的实际类型一致，但也可以通过编码指令更改。 假如一份 ASN.1 相关规范要求某一个 CHOICE 字段必须是 INTEGER 或 UTCTime，而现在该字段恰好属于 INTEGER，那就按 INTEGER 编码即可。

但实际应用中 CHOICE 往往都有编码指令。 比如在 RFC 5280 的下列定义中，rfc822Name 和 dNSName 的类型都是 IA5String，只有靠编码指令才能区分。

   GeneralName ::= CHOICE {
        otherName                       [0]     OtherName,
        rfc822Name                      [1]     IA5String,
        dNSName                         [2]     IA5String,
        x400Address                     [3]     ORAddress,
        directoryName                   [4]     Name,
        ediPartyName                    [5]     EDIPartyName,
        uniformResourceIdentifier       [6]     IA5String,
        iPAddress                       [7]     OCTET STRING,
        registeredID                    [8]     OBJECT IDENTIFIER }

举例来说，如果一个 GeneralName 里包含的是 rfc822Name，值为 a@example.com，则编码如下（回忆一下，[1] 表示标签值为 1，类别为特定语境标签，即第 8 位为 1，并且标签编码方式为 IMPLICIT）：

81 0d 61 40 65 78 61 6d 70 6c 65 2e 63 6f 6d

如果 GeneralName 里包含的是 dNSName，值为“example.com”，编码则是：

82 0b 65 78 61 6d 70 6c 65 2e 63 6f 6d

安全性

解码 BER 和 DER 格式时必须格外小心，尤其是在 C、C++ 等非内存安全的编程语言中。 各种解码器的安全漏洞可谓罄竹难书， 而解析用户输入本身就是安全问题的一大来源。 ASN.1 编码与漏洞近乎如影随形， 毕竟这种格式颇为复杂，各种不定长度的字段不计其数， 连长度字段本身都没有固定长度！ 另一方面，ASN.1 格式的数据又往往来自潜在的攻击者， 所以如果要靠数字证书验证用户身份，不能光考虑如何解码正确的证书，还得应对五花八门的恶意输入，以免 ASN.1 代码中存在漏洞而被攻陷。

面对这些问题，最好的解决办法就是尽可能使用内存安全的编程语言， 并且无论能否使用这类语言，都应当借助现成的 ASN.1 编译器生成解析程序，而非闭门造车，自行编写解码器。

致谢

首先我要向 A Layman’s Guide to a Subset of ASN.1, DER, and BER 致以诚挚的敬意，本文中的大部分知识我都是从这份材料中学到的。 我还要感谢另一篇佳作 A warm welcome to DNS 的作者，其文风也奠定了本文的笔法基调。

一点题外话

你可曾注意到 PEM 编码的证书开头都是“MII”？ 例如：

-----BEGIN CERTIFICATE-----

MIIFajCCBFKgAwIBAgISA6HJW9qjaoJoMn8iU8vTuiQ2MA0GCSqGSIb3DQEBCwUA
...

现在你已经能解释原因了！ 证书本身是一个 SEQUENCE 结构，所以第一个字节是 0x30。 接下来是长度字段， 绝大多数证书都不止 127 个字节，所以需要采用长编码， 也就是说第一个字节是 0x80 + N，意味着后面还有 N 个字节表示长度。 N 一般都是 2，因为大多数证书的长度都在 128 至 65535 个字节之间，只需要两个字节表示。

于是我们可以得知 DER 格式的证书前两个字节是 0x30 0x82。 但 PEM 采用了 Base64 编码，将每 3 个二进制字节转换成 4 个 ASCII 字符。 换句话说，Base64 是将 24 个二进制位写成 4 个 ASCII 字符，每个字符表示 6 个二进制位。 我们已经知道证书的前 16 位是什么了， 要证明（几乎）所有证书开头都是“MII”，还需确定接下来的两个二进制位。 这两位正是长度字节的最高位， 它们会是 1 吗？ 那这个证书就非得超过 16383 个字节不可！ 由此我们可以断定 PEM 证书开头的几个字符都是相同的。 你不妨也试试看：

xxd -r -p <<<308200 | base64

Views: 12