บน CentOS 6.5 /etc/pki/tls/certsฉันมี:
ca-bundle.crt
และ
ca-bundle.trust.crt
ด้วยขนาดไฟล์ที่แตกต่างกัน ซึ่งผมควรจะใช้เป็นเส้นทางความไว้วางใจสำหรับNginx proxy_ssl_trusted_certificate
คำตอบ:
ca-bundle.trust.crt ถือ certs ด้วย "Extended validation"
ความแตกต่างระหว่างใบรับรอง "ปกติ" และใบรับรองกับ EV คือว่าใบรับรอง EV ของคุณต้องการบางสิ่งบางอย่างเช่นการตรวจสอบส่วนบุคคลหรือ บริษัท โดยการตรวจสอบตัวตนของบุคคลโดยใช้หนังสือเดินทางของเขา / เธอ
ซึ่งหมายความว่าหากคุณต้องการได้รับใบรับรอง ev คุณจะต้องระบุตัวคุณเองกับผู้ออกใบรับรองเช่นหนังสือเดินทางของคุณ หากคุณ "เป็น" บริษัท ก็จะต้องมีขั้นตอนที่เทียบเท่า (ไม่ทราบแน่ชัด) นี้เป็นสิ่งสำคัญมากที่สุดสำหรับธนาคารออนไลน์: คุณต้องให้แน่ใจว่าไม่เพียง แต่เซิร์ฟเวอร์คุณเชื่อมต่อกับได้รับการรับรอง แต่ยังธนาคารได้รับการรับรอง
เนื่องจากการที่ ev certs นั้นมี "ความซับซ้อน" มากกว่าและมีฟิลด์เพิ่มเติมเพื่อ "ระบุ" ไม่เพียง แต่เซิร์ฟเวอร์ แต่ยังรวมถึง บริษัท ด้วย
หากต้องการกลับมาที่คำตอบของคุณ: ขึ้นอยู่กับการใช้งานของคุณ คนส่วนใหญ่ควรใช้ ca-bundle.crt หากคุณ "เป็น" ธนาคารหรือร้านค้าออนไลน์ที่ต้องการการรับรองระดับสูงมากและ "เชื่อใจ" คุณควรใช้ ca-bundle.trust.crt
หลังจาก "ระเบิด" ชุดรวมที่ใช้สคริปต์ Perl เล็กน้อยจากนั้นเรียกใช้diff --side-by-sideใบรับรองของรัฐบาลไต้หวัน (เป็นตัวอย่างที่ถ่ายเพียงเพราะเป็นใบรับรองเดียวในชุดรวมที่ไม่มีCNแอตทริบิวต์ในIssuerและSubjectบรรทัด) (ใช้ SHA1 แต่นั่นคือ ตกลง ) เราเห็นความแตกต่าง:
ca-bundle.trust.crtด้านซ้ายca-bundle.crtทางด้านขวา----- เริ่มต้นใบรับรองที่เชื่อถือได้ ----- | ----- เริ่มต้นใบรับรอง -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWTCVQGAIFIJIBIQI ANNI9EANANNE9JANBKQKAFAQQA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kwfYNucpllQdSNpc5Oy + fwC00fmcc4QAU4
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- สิ้นสุดใบรับรองที่เชื่อถือได้ ----- | ----- สิ้นสุดใบรับรอง -----
ใบรับรอง: ใบรับรอง:
ข้อมูล: ข้อมูล:
รุ่น: 3 (0x2) รุ่น: 3 (0x2)
หมายเลขซีเรียล: หมายเลขซีเรียล:
1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5:: 7: 2: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
อัลกอริธึมลายเซ็น: sha1WithRSAEncryption อัลกอริธึมลายเซ็นต์: sha1WithRSAEncryption
ผู้ออก: C = TW, O = หน่วยงานรับรองระบบอัตโนมัติของรัฐบาลผู้ออกใบรับรอง: C = TW, O = หน่วยงานรับรองระบบงานรัฐบาล
ความถูกต้องตั้งแต่วันที่
ไม่ก่อนหน้านี้: 5 ธันวาคม 13:23:33 2002 GMT ไม่ก่อน: 5 ธันวาคม 13:23:33 2002 GMT
ไม่ใช่หลังจาก: 5 ธันวาคม 13:23:33 2032 GMT ไม่หลังจาก: 5 ธันวาคม 13:23:33 2032 GMT
เรื่อง: C = TW, O = การรับรองจากรูทของรัฐบาลเรื่อง: C = TW, O = การรับรองจากรูทของรัฐบาลออสเตรเลีย
ข้อมูลคีย์สาธารณะของหัวเรื่อง: ข้อมูลคีย์สาธารณะของหัวเรื่อง:
อัลกอริทึมกุญแจสาธารณะ: rsaEncryption อัลกอริทึมกุญแจสาธารณะ: rsaEncryption
รหัสสาธารณะ RSA: (4096 บิต) รหัสสาธารณะ RSA: (4096 บิต)
โมดูลัส: โมดูลัส:
00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7: f7: ce : 5b: 59
... ...
95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3: 95: 23: b2: 0: f4: 79 : b4: c9
c1: 4a: 21 c1: 4a: 21
เลขชี้กำลัง: 65537 (0x10001) เลขชี้กำลัง: 65537 (0x10001)
ส่วนขยาย X509v3: ส่วนขยาย X509v3:
X509v3 ตัวระบุคีย์หัวเรื่อง: X509v3 ตัวระบุคีย์หัวเรื่อง:
CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3: B1: 92: B6: 3C: FA: 32: 62:
X509v3 ข้อ จำกัด พื้นฐาน: ข้อ จำกัด พื้นฐาน X509v3:
CA: TRUE CA: TRUE
setCext-hashedRoot: setCext-hashedRoot:
0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... กรัม * ........ " ... (6 .... 2.1
อัลกอริธึมลายเซ็น: sha1WithRSAEncryption อัลกอริธึมลายเซ็นต์: sha1WithRSAEncryption
40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: DD: 4f: 86: 74: 76: 58: f5: AE: ข
... ...
e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: fc: 12
การใช้ที่เชื่อถือได้: <
การป้องกันอีเมลการรับรองความถูกต้องของเซิร์ฟเวอร์เว็บ TLS <
ไม่มีการปฏิเสธการใช้งาน <
Alias: Taiwan GRCA <