Skip to content
Latchkey

O Que É um Certificado X.509? Explicado

Um certificado X.509 é o formato padrão que vincula uma chave pública a uma identidade e é assinado por uma autoridade certificadora para torná-lo confiável.

X.509 é o formato de certificado que sustenta o TLS e, portanto, o HTTPS. Todo site seguro apresenta um certificado X.509, e o mesmo padrão é usado para certificados de cliente e identidade de serviço. Ele empacota uma chave pública, informações sobre a quem pertence, um período de validade e uma assinatura de CA - o pacote que permite a um cliente confiar em um servidor que nunca encontrou.

O que é um certificado X.509

Um certificado X.509 é um documento estruturado que contém uma chave pública, a identidade de seu subject, um issuer (a CA), uma janela de validade e a assinatura da CA sobre tudo isso. A assinatura é o que torna o vínculo entre identidade e chave confiável em vez de uma mera alegação.

Campos-chave

Campos importantes incluem o subject (para quem o certificado é), os subject alternative names (os hostnames para os quais é válido), o issuer, as datas not-before e not-after, e a própria chave pública. A verificação TLS checa que o hostname corresponde a um SAN e que as datas estão vigentes.

Como é armazenado

Certificados X.509 normalmente são armazenados em forma PEM (texto base64 com marcadores BEGIN/END) ou DER (binário puro). PEM é a escolha comum e amigável a texto que viaja bem por config e secrets, que é por que você vê certificados como blocos PEM com tanta frequência.

Certificados X.509 no CI

O CI encontra certificados X.509 sempre que um job usa TLS: conectar a um banco de dados, chamar uma API HTTPS ou apresentar um certificado de cliente para TLS mútuo. Duas falhas clássicas são um certificado expirado e um hostname que não corresponde ao certificado, ambos aparecendo como erros de TLS no log do job.

Inspecting an X.509 certificate
# Inspect a certificate during CI debugging
steps:
  - run: openssl x509 -in server.pem -noout -subject -dates

Nota Latchkey

Conexões TLS a partir dos runners Latchkey validam certificados X.509 contra o trust store padrão. Para TLS mútuo, você fornece um certificado de cliente como secret e o escreve em um arquivo no job, do mesmo modo que em qualquer runner padrão.

Principais conclusões

  • Um certificado X.509 vincula uma chave pública a uma identidade, com um período de validade e uma assinatura de CA.
  • Campos-chave incluem o subject, os subject alternative names (hostnames), o issuer e as datas de validade.
  • O CI encontra certificados X.509 em toda conexão TLS; expiração e incompatibilidade de hostname são falhas comuns.

Guias relacionados