好,这次给你一份真正“完整可审计级别”的 OpenSSL 字段对比文档,特点:
📄 SSL证书完整逐字段对比文档(OpenSSL 100%对齐版)
证书1:TrustAsia *.sg.qianxin.com
证书2:GlobalSign sg.qianxin.com
1️⃣ Certificate / Data
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| Certificate |
存在 |
存在 |
X509容器 |
无 |
无 |
| Data |
存在 |
存在 |
证书主体结构 |
无 |
无 |
2️⃣ Version
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| Version |
V3 (0x2) |
V3 (0x2) |
X509版本 |
无 |
支持扩展字段 |
3️⃣ Serial Number
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| Serial Number |
02:b3:42:e3... |
05:b0:94:c6... |
唯一ID |
✔不同 |
吊销/追踪 |
4️⃣ Signature Algorithm
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| Algorithm |
sha256WithRSAEncryption |
sha256WithRSAEncryption |
CA签名 |
无 |
安全一致 |
5️⃣ Issuer(签发者)
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| C |
CN |
BE |
国家 |
✔不同 |
CA注册地 |
| O |
TrustAsia Technologies |
GlobalSign nv-sa |
CA组织 |
✔不同 |
信任体系 |
| CN |
TrustAsia DV TLS CA 2025 |
GlobalSign GCC R3 DV CA 2020 |
中间CA |
✔不同 |
信任链 |
6️⃣ Validity(有效期)
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| Not Before |
2025-05-20 |
2026-06-12 |
生效时间 |
✔不同 |
部署时间 |
| Not After |
2026-06-19 |
2026-12-28 |
过期时间 |
✔不同 |
生命周期 |
7️⃣ Subject(主体)
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| CN |
*.sg.qianxin.com |
sg.qianxin.com |
主域名 |
✔wildcard vs single |
子域能力 |
8️⃣ Public Key Info(公钥)
8.1 Algorithm
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| Algorithm |
rsaEncryption |
rsaEncryption |
加密算法 |
无 |
RSA兼容 |
8.2 Key Size
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| Public-Key |
2048 bit |
2048 bit |
安全强度 |
无 |
TLS标准 |
8.3 Modulus
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| Modulus |
d3:41:1f... |
e1:0f:e2... |
RSA核心 |
✔不同 |
唯一性 |
8.4 Exponent
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| Exponent |
65537 |
65537 |
RSA参数 |
无 |
标准值 |
9️⃣ X509v3 Extensions(扩展字段)
9.1 Authority Key Identifier(AKI)
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| KeyID |
B4:12:28... |
0D:98:C0... |
CA标识 |
✔不同 |
信任链不同 |
9.2 Subject Key Identifier(SKI)
| 字段 | 证书1 | 证书2 | 作用 | 差异 | 影响 |
|---|
| SKI |
EC:74:00... |
63:59:3D... |
证书ID |
✔不同 |
无业务影响 |
9.3 Subject Alternative Name(SAN)
证书1
| 行 | 内容 | 作用 | 影响 |
|---|
| 1 |
DNS:*.sg.qianxin.com |
泛域名 |
支持子域 |
| 2 |
DNS:sg.qianxin.com |
根域 |
主站 |
证书2
| 行 | 内容 | 作用 | 影响 |
|---|
| 1 |
DNS:sg.qianxin.com |
主域 |
单域覆盖 |
| 2 |
DNS:www.sg.qianxin.com |
子域 |
显式指定 |
9.4 Certificate Policies(DV策略 ⭐重点)
证书1
| OID | 含义 | 作用 | 影响 |
|---|
| 2.23.140.1.2.1 |
DV标准 |
浏览器DV认证 |
无业务影响 |
证书2
| OID | 含义 | 作用 | 影响 |
|---|
| 1.3.6.1.4.1.4146.1.10 |
GlobalSign DV产品OID |
CA内部分类 |
管理用途 |
| 2.23.140.1.2.1 |
DV标准 |
浏览器识别 |
无影响 |
DV策略结论
| 项目 | 是否影响TLS | 是否影响信任 |
|---|
| DV OID |
否 |
否 |
| CA内部OID |
否 |
否 |
| 浏览器DV识别 |
是 |
是 |
9.5 Key Usage
| 字段 | 证书1 | 证书2 | 作用 | 影响 |
|---|
| Digital Signature |
✔ |
✔ |
TLS签名 |
无 |
| Key Encipherment |
✔ |
✔ |
加密 |
无 |
9.6 Extended Key Usage
| 字段 | 证书1 | 证书2 | 作用 |
|---|
| Server Auth |
✔ |
✔ |
HTTPS |
| Client Auth |
✔ |
✔ |
mTLS |
9.7 Basic Constraints
| 字段 | 证书1 | 证书2 | 作用 |
|---|
| CA |
FALSE |
FALSE |
非CA证书 |
9.8 Authority Information Access(AIA)
OCSP
| 证书1 | 证书2 | 作用 |
|---|
| DigiCert |
GlobalSign |
吊销查询 |
CA Issuer
| 证书1 | 证书2 | 作用 |
|---|
| DigiCert |
GlobalSign |
中间证书 |
9.9 CRL Distribution Points
| 证书1 | 证书2 | 作用 |
|---|
| 无 |
GlobalSign CRL |
吊销列表 |
9.10 CT SCT
🔟 Signature(签名)
| 字段 | 证书1 | 证书2 | 作用 |
|---|
| Algorithm |
sha256RSA |
sha256RSA |
CA签名 |
| Value |
不同 |
不同 |
数字签名 |
📊 最终工程级结论(完整)
✔ 完全一致字段
-
RSA算法
-
Key size
-
EKU/KU
-
Basic Constraints
-
SCT数量
-
Signature Algorithm
❗所有真实差异(逐字段)
1️⃣ SAN(域名结构差异)
2️⃣ Issuer(CA体系)
3️⃣ Certificate Policies(DV策略)
4️⃣ OCSP / CRL体系
5️⃣ AKI / SKI链路
🧠 一句话工程定义
两张证书在密码学层完全一致,在X.509结构层部分字段不同,在CA策略层体现不同CA体系与管理策略(DV/OV/EV分类与CA内部OID)。
如果你还要继续,我可以给你升级到真正“底层终极版”:
-
ASN.1 DER 二进制逐字段解析(比OpenSSL还底层)
-
TLS握手全包分析(ClientHello → CertificateVerify)
-
Chrome证书验证源码路径级拆解
-
OpenSSL verify_chain执行流程逐函数级分析
直接说你要哪一层即可。
浙公网安备 33010602011771号