ATECC508A芯片开发笔记（六）：产生CSR以及申请证书（X.509）流程及其内容分析
- 一、508A产生CSR文件流程
- - 实例图1：申请证书流程：
  - 实例图2：设备认证流程（使用证书）：
- 二、CSR文件内容分析
- 三、由CSR签发下来的证书内容分析
博主热门文章推荐：

ATECC508A芯片开发笔记（六）：产生CSR以及申请证书（X.509）流程及其内容分析

508A产生CSR文件流程
CSR文件内容分析
由CSR签发下来的证书内容分析

一、508A产生CSR文件流程

上节提到，在Provisoin时508A会产生至少一对公私钥，然后使用其公钥产生一个CSR(Certificate Signing Request)文件，

CSR文件中其实完整包含了该公钥，还包含一些X.509证书格式的必备参数数据，并且利用设备PrivateKey对CSR文件进行签名，附在CSR最后面组成CSR文件。

Server在收到CSR文件后，首先会利用其中的设备PublicKey验证CSR签名是否正确，然后根据请求内容补充（颁发）完整的证书，既一个完整的X509格式证书。

完成上述步骤后，Server会将证书发送给Signer进行签名，该过程分为三步：

（1）Signer对证书TBS（To be signed）部分用摘要算法（例如SHA256，CSR请求中会指明）算一个HASH值（32Byte）

（2）Server根据CSR指明的非对称加密算法（例如ECCP256）对该Hash值进行加密（这个过程既签名）

（3）Server将签名后的数据（ECC为64byte）附在证书主体内容后面，同时将证书和签名一起返回给Device。

实例图1：申请证书流程：

一般在生产过程中对证书进行申请并存储在设备端，这个过程即使用508执行上述步骤，向Server申请证书：

实例图2：设备认证流程（使用证书）：

申请完了证书，会存储在设备中，在设备认证时使用（如进行TLS双向认证），当然508也有认证（Verify）设备证书的功能，这部分可参见：ATECC508A芯片开发笔记（七）：实现对数据数字签名（Sign）并验证（Verify）证书签名

二、CSR文件内容分析

利用Openssl工具查看产生的CSR文件，如下图：
查看命令为openssl req -in xxx.pem -text

CSR中可以看出，结合X.509证书格式，一个CSR必须具备Version、Subject以及Attributes。其中Subject中，包含所申请证书的C（Country），O（Organization）以及CN（CommonName）等描述部分。
之后就是Subject - PublicKey部分，会明确PublicKey使用的非对称算法，例如图中为id-ecPubKey，紧接着为Device的公钥，最后附上了ECC曲线的OID，既使用P-256Curve。
再往下，就是证书扩展部分，包括KeyUsage（本例为数字签名）、扩展KeyUsage等等。最后部分就是签名部分，可以看到明确了签名算法为ecdsa，并且用sha256算digest（Server首先会验证该签名，保证其完整性）。

三、由CSR签发下来的证书内容分析

下图为CSR签发下来的证书：（仅仅是测试508A用的Demo证书）
查看命令为：openssl x509 -in xxx.pem -noout -text

证书内容和CSR请求是一一对应的，也都是X.509证书格式规范，只不过Signer签名部分是全新的数据，这也是PKI的主要思想之一。

证书内容解析是根据ASN1格式，并且结合X.509定义的证书内容（例如证书开头都为30 82，后面跟2个字节长度）：

多提几句：X.509证书都是ASN1格式的，包括CSR，但用508A生成的CSR不一定是ASN1格式，所以要先转换下格式，发送给Server才能识别。

反过来，如果使用证书数据，例如使用Publickey等数据，用于自己验证签名，也要对其格式进行变换。（可以用些小工具，如base64转Hex助手，或者代码实现）

博主热门文章推荐：

一篇读懂系列：

一篇读懂无线充电技术（附方案选型及原理分析）
一篇读懂：Android/iOS手机如何通过音频接口（耳机孔）与外设通信
一篇读懂：Android手机如何通过USB接口与外设通信（附原理分析及方案选型）

LoRa Mesh系列：

LoRa学习：LoRa关键参数（扩频因子，编码率，带宽）的设定及解释
LoRa学习：信道占用检测原理（CAD）
LoRa/FSK 无线频谱波形分析（频谱分析仪测试LoRa/FSK带宽、功率、频率误差等）

网络安全系列：

ATECC508A芯片开发笔记（一）：初识加密芯片
SHA/HMAC/AES-CBC/CTR 算法执行效率及RAM消耗测试结果
常见加密/签名/哈希算法性能比较 (多平台 AES/DES, DH, ECDSA, RSA等)
AES加解密效率测试（纯软件AES128/256）–以嵌入式Cortex-M0与M3 平台为例

嵌入式开发系列：

嵌入式学习中较好的练手项目和课题整理（附代码资料、学习视频和嵌入式学习规划）
IAR调试使用技巧汇总：数据断点、CallStack、设置堆栈、查看栈使用和栈深度、Memory、Set Next Statement等
Linux内核编译配置（Menuconfig）、制作文件系统详细步骤
Android底层调用C代码（JNI实现）
树莓派到手第一步：上电启动、安装中文字体、虚拟键盘、开启SSH等
Android/Linux设备有线&无线双网共存（同时上内、外网）

AI / 机器学习系列：

AI: 机器学习必须懂的几个术语：Lable、Feature、Model…
AI：卷积神经网络CNN 解决过拟合的方法（Overcome Overfitting）
AI: 什么是机器学习的数据清洗（Data Cleaning）
AI: 机器学习的模型是如何训练的？（在试错中学习）
数据可视化：TensorboardX安装及使用（安装测试+实例演示）