Разница между ca-bundle.crt и ca-bundle.trust.crt

18

На CentOS 6.5 у /etc/pki/tls/certsменя есть:

ca-bundle.crt

и

ca-bundle.trust.crt

С разными размерами файлов. Который я должен использовать в качестве пути доверия для nginx proxy_ssl_trusted_certificate .

nginx  openssl  certificate-authority 
Джастин
источник
та же схема файла также используется под RHEL 7
maxschlepzig

Ответы:

12

ca-bundle.trust.crt содержит сертификаты с «расширенной проверкой».

Разница между «обычными» сертификатами и сертификатами с EV заключается в том, что для ваших сертификатов EV требуется что-то вроде подтверждения личности или компании, то есть подтверждения личности человека по его / ее паспорту.

Это означает, что если вы хотите получить свидетельство ev, вам нужно будет идентифицировать себя с эмитентом сертификата, то есть по паспорту. Если вы «являетесь» компанией, то должна произойти эквивалентная процедура (точно не знаю). Это наиболее важно для онлайн-банкинга: вы должны быть уверены, что сертифицирован не только сервер , к которому вы подключаетесь, но и банк .

Из-за этого ev-сертификаты являются более «сложными» и содержат дополнительные поля для «идентификации» не только сервера, но и компании.

Чтобы вернуться к вашему ответу: это зависит от вашего использования. Большинство людей должны использовать ca-bundle.crt. Если вы «являетесь» банком или интернет-магазином, которому требуется очень высокий уровень сертификации и «доверие», тогда вам следует использовать ca-bundle.trust.crt.

reichhart
источник
1

После «взрыва» пучки , используя немногое Perl скрипт , затем работает diff --side-by-sideна сертификат правительства Тайваня ( в качестве примера, взятые только потому , что это единственный сертификат в комплекте без CNатрибута в Issuerи Subjectлиний) (использует SHA1 , но вот хорошо ) мы видим разницу:

  • Сертификат ca-bundle.trust.crtслева
  • Справка от ca-bundle.crtсправа
----- НАЧАТЬ ДОВЕРЕННЫЙ СЕРТИФИКАТ ----- | ----- НАЧАТЬ СЕРТИФИКАТ -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgw0QUFA9
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4nEy rDE
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- КОНЕЦ ДОВЕРЕННОГО СЕРТИФИКАТА ----- | ----- КОНЕЦ СЕРТИФИКАТА -----
Сертификат: Сертификат:
    Данные: Данные:
        Версия: 3 (0x2) Версия: 3 (0x2)
        Серийный номер: Серийный номер:
            1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: е3: 5e: f6
        Алгоритм подписи: sha1WithRSAEncryption Алгоритм подписи: sha1WithRSAEncryption
        Эмитент: C = TW, O = Аутентификация корневого сертификата правительства. Эмитент: C = TW, O = Аутентификация корневого сертификата правительства.
        Срок действия
            Не раньше: 5 декабря 13:23:33 2002 GMT Не раньше: 5 декабря 13:23:33 2002 GMT
            Не после: 5 декабря 13:23:33 2032 по Гринвичу Не после: 5 декабря 13:23:33 2032 по Гринвичу
        Субъект: C = TW, O = Правительственная корневая сертификация Au Субъект: C = TW, O = Правительственная корневая сертификация Au
        Информация о публичном ключе субъекта: Информация о публичном ключе субъекта:
            Алгоритм открытого ключа: rsaEncryption Алгоритм открытого ключа: rsaEncryption
                Открытый ключ RSA: (4096 бит) Открытый ключ RSA: (4096 бит)
                Модуль: Модуль:
                    00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
                    ... ...
                    95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: с9
                    с1: 4а: 21 с1: 4а: 21
                Экспонента: 65537 (0x10001) Экспонента: 65537 (0x10001)
        Расширения X509v3: Расширения X509v3:
            Идентификатор ключа субъекта X509v3: Идентификатор ключа субъекта X509v3:
                CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: В6: 3C: FA: 32: 62:
            Основные ограничения X509v3: Основные ограничения X509v3:
                CA: TRUE CA: TRUE
            setCext-hashedRoot: setCext-hashedRoot:
                0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2,1 0/0 -... 0 ... + ...... 0 ... г * ........ "... (6 .... 2,1
    Алгоритм подписи: sha1WithRSAEncryption Алгоритм подписи: sha1WithRSAEncryption
         40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: дд: 4f: 86: 74: 76: 58: f5: ае: б
         ... ...
         e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Надежные использования: <
  Защита электронной почты, проверка подлинности веб-сервера TLS <
Нет отклоненного использования. <
Псевдоним: Тайвань GRCA <
Дэвид Тонхофер
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.