บน CentOS 6.5 /etc/pki/tls/certs
ฉันมี:
ca-bundle.crt
และ
ca-bundle.trust.crt
ด้วยขนาดไฟล์ที่แตกต่างกัน ซึ่งผมควรจะใช้เป็นเส้นทางความไว้วางใจสำหรับNginx proxy_ssl_trusted_certificate
บน CentOS 6.5 /etc/pki/tls/certs
ฉันมี:
ca-bundle.crt
และ
ca-bundle.trust.crt
ด้วยขนาดไฟล์ที่แตกต่างกัน ซึ่งผมควรจะใช้เป็นเส้นทางความไว้วางใจสำหรับNginx proxy_ssl_trusted_certificate
คำตอบ:
ca-bundle.trust.crt ถือ certs ด้วย "Extended validation"
ความแตกต่างระหว่างใบรับรอง "ปกติ" และใบรับรองกับ EV คือว่าใบรับรอง EV ของคุณต้องการบางสิ่งบางอย่างเช่นการตรวจสอบส่วนบุคคลหรือ บริษัท โดยการตรวจสอบตัวตนของบุคคลโดยใช้หนังสือเดินทางของเขา / เธอ
ซึ่งหมายความว่าหากคุณต้องการได้รับใบรับรอง ev คุณจะต้องระบุตัวคุณเองกับผู้ออกใบรับรองเช่นหนังสือเดินทางของคุณ หากคุณ "เป็น" บริษัท ก็จะต้องมีขั้นตอนที่เทียบเท่า (ไม่ทราบแน่ชัด) นี้เป็นสิ่งสำคัญมากที่สุดสำหรับธนาคารออนไลน์: คุณต้องให้แน่ใจว่าไม่เพียง แต่เซิร์ฟเวอร์คุณเชื่อมต่อกับได้รับการรับรอง แต่ยังธนาคารได้รับการรับรอง
เนื่องจากการที่ ev certs นั้นมี "ความซับซ้อน" มากกว่าและมีฟิลด์เพิ่มเติมเพื่อ "ระบุ" ไม่เพียง แต่เซิร์ฟเวอร์ แต่ยังรวมถึง บริษัท ด้วย
หากต้องการกลับมาที่คำตอบของคุณ: ขึ้นอยู่กับการใช้งานของคุณ คนส่วนใหญ่ควรใช้ ca-bundle.crt หากคุณ "เป็น" ธนาคารหรือร้านค้าออนไลน์ที่ต้องการการรับรองระดับสูงมากและ "เชื่อใจ" คุณควรใช้ ca-bundle.trust.crt
หลังจาก "ระเบิด" ชุดรวมที่ใช้สคริปต์ Perl เล็กน้อยจากนั้นเรียกใช้diff --side-by-side
ใบรับรองของรัฐบาลไต้หวัน (เป็นตัวอย่างที่ถ่ายเพียงเพราะเป็นใบรับรองเดียวในชุดรวมที่ไม่มีCN
แอตทริบิวต์ในIssuer
และSubject
บรรทัด) (ใช้ SHA1 แต่นั่นคือ ตกลง ) เราเห็นความแตกต่าง:
ca-bundle.trust.crt
ด้านซ้ายca-bundle.crt
ทางด้านขวา----- เริ่มต้นใบรับรองที่เชื่อถือได้ ----- | ----- เริ่มต้นใบรับรอง ----- MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWTCVQGAIFIJIBIQI ANNI9EANANNE9JANBKQKAFAQQA ... LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kwfYNucpllQdSNpc5Oy + fwC00fmcc4QAU4 pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS ----- สิ้นสุดใบรับรองที่เชื่อถือได้ ----- | ----- สิ้นสุดใบรับรอง ----- ใบรับรอง: ใบรับรอง: ข้อมูล: ข้อมูล: รุ่น: 3 (0x2) รุ่น: 3 (0x2) หมายเลขซีเรียล: หมายเลขซีเรียล: 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5:: 7: 2: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6 อัลกอริธึมลายเซ็น: sha1WithRSAEncryption อัลกอริธึมลายเซ็นต์: sha1WithRSAEncryption ผู้ออก: C = TW, O = หน่วยงานรับรองระบบอัตโนมัติของรัฐบาลผู้ออกใบรับรอง: C = TW, O = หน่วยงานรับรองระบบงานรัฐบาล ความถูกต้องตั้งแต่วันที่ ไม่ก่อนหน้านี้: 5 ธันวาคม 13:23:33 2002 GMT ไม่ก่อน: 5 ธันวาคม 13:23:33 2002 GMT ไม่ใช่หลังจาก: 5 ธันวาคม 13:23:33 2032 GMT ไม่หลังจาก: 5 ธันวาคม 13:23:33 2032 GMT เรื่อง: C = TW, O = การรับรองจากรูทของรัฐบาลเรื่อง: C = TW, O = การรับรองจากรูทของรัฐบาลออสเตรเลีย ข้อมูลคีย์สาธารณะของหัวเรื่อง: ข้อมูลคีย์สาธารณะของหัวเรื่อง: อัลกอริทึมกุญแจสาธารณะ: rsaEncryption อัลกอริทึมกุญแจสาธารณะ: rsaEncryption รหัสสาธารณะ RSA: (4096 บิต) รหัสสาธารณะ RSA: (4096 บิต) โมดูลัส: โมดูลัส: 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7: f7: ce : 5b: 59 ... ... 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3: 95: 23: b2: 0: f4: 79 : b4: c9 c1: 4a: 21 c1: 4a: 21 เลขชี้กำลัง: 65537 (0x10001) เลขชี้กำลัง: 65537 (0x10001) ส่วนขยาย X509v3: ส่วนขยาย X509v3: X509v3 ตัวระบุคีย์หัวเรื่อง: X509v3 ตัวระบุคีย์หัวเรื่อง: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3: B1: 92: B6: 3C: FA: 32: 62: X509v3 ข้อ จำกัด พื้นฐาน: ข้อ จำกัด พื้นฐาน X509v3: CA: TRUE CA: TRUE setCext-hashedRoot: setCext-hashedRoot: 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... กรัม * ........ " ... (6 .... 2.1 อัลกอริธึมลายเซ็น: sha1WithRSAEncryption อัลกอริธึมลายเซ็นต์: sha1WithRSAEncryption 40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: DD: 4f: 86: 74: 76: 58: f5: AE: ข ... ... e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: fc: 12 การใช้ที่เชื่อถือได้: < การป้องกันอีเมลการรับรองความถูกต้องของเซิร์ฟเวอร์เว็บ TLS < ไม่มีการปฏิเสธการใช้งาน < Alias: Taiwan GRCA <