ความแตกต่างระหว่าง ca-bundle.crt และ ca-bundle.trust.crt


18

บน CentOS 6.5 /etc/pki/tls/certsฉันมี:

ca-bundle.crt

และ

ca-bundle.trust.crt

ด้วยขนาดไฟล์ที่แตกต่างกัน ซึ่งผมควรจะใช้เป็นเส้นทางความไว้วางใจสำหรับNginx proxy_ssl_trusted_certificate


รูปแบบไฟล์เดียวกันนี้ยังใช้ภายใต้ RHEL 7
maxschlepzig

คำตอบ:


12

ca-bundle.trust.crt ถือ certs ด้วย "Extended validation"

ความแตกต่างระหว่างใบรับรอง "ปกติ" และใบรับรองกับ EV คือว่าใบรับรอง EV ของคุณต้องการบางสิ่งบางอย่างเช่นการตรวจสอบส่วนบุคคลหรือ บริษัท โดยการตรวจสอบตัวตนของบุคคลโดยใช้หนังสือเดินทางของเขา / เธอ

ซึ่งหมายความว่าหากคุณต้องการได้รับใบรับรอง ev คุณจะต้องระบุตัวคุณเองกับผู้ออกใบรับรองเช่นหนังสือเดินทางของคุณ หากคุณ "เป็น" บริษัท ก็จะต้องมีขั้นตอนที่เทียบเท่า (ไม่ทราบแน่ชัด) นี้เป็นสิ่งสำคัญมากที่สุดสำหรับธนาคารออนไลน์: คุณต้องให้แน่ใจว่าไม่เพียง แต่เซิร์ฟเวอร์คุณเชื่อมต่อกับได้รับการรับรอง แต่ยังธนาคารได้รับการรับรอง

เนื่องจากการที่ ev certs นั้นมี "ความซับซ้อน" มากกว่าและมีฟิลด์เพิ่มเติมเพื่อ "ระบุ" ไม่เพียง แต่เซิร์ฟเวอร์ แต่ยังรวมถึง บริษัท ด้วย

หากต้องการกลับมาที่คำตอบของคุณ: ขึ้นอยู่กับการใช้งานของคุณ คนส่วนใหญ่ควรใช้ ca-bundle.crt หากคุณ "เป็น" ธนาคารหรือร้านค้าออนไลน์ที่ต้องการการรับรองระดับสูงมากและ "เชื่อใจ" คุณควรใช้ ca-bundle.trust.crt


1

หลังจาก "ระเบิด" ชุดรวมที่ใช้สคริปต์ Perl เล็กน้อยจากนั้นเรียกใช้diff --side-by-sideใบรับรองของรัฐบาลไต้หวัน (เป็นตัวอย่างที่ถ่ายเพียงเพราะเป็นใบรับรองเดียวในชุดรวมที่ไม่มีCNแอตทริบิวต์ในIssuerและSubjectบรรทัด) (ใช้ SHA1 แต่นั่นคือ ตกลง ) เราเห็นความแตกต่าง:

  • ใบรับรองจากca-bundle.trust.crtด้านซ้าย
  • ใบรับรองจากca-bundle.crtทางด้านขวา
----- เริ่มต้นใบรับรองที่เชื่อถือได้ ----- | ----- เริ่มต้นใบรับรอง -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWTCVQGAIFIJIBIQI ANNI9EANANNE9JANBKQKAFAQQA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kwfYNucpllQdSNpc5Oy + fwC00fmcc4QAU4
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- สิ้นสุดใบรับรองที่เชื่อถือได้ ----- | ----- สิ้นสุดใบรับรอง -----
ใบรับรอง: ใบรับรอง:
    ข้อมูล: ข้อมูล:
        รุ่น: 3 (0x2) รุ่น: 3 (0x2)
        หมายเลขซีเรียล: หมายเลขซีเรียล:
            1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5:: 7: 2: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
        อัลกอริธึมลายเซ็น: sha1WithRSAEncryption อัลกอริธึมลายเซ็นต์: sha1WithRSAEncryption
        ผู้ออก: C = TW, O = หน่วยงานรับรองระบบอัตโนมัติของรัฐบาลผู้ออกใบรับรอง: C = TW, O = หน่วยงานรับรองระบบงานรัฐบาล
        ความถูกต้องตั้งแต่วันที่
            ไม่ก่อนหน้านี้: 5 ธันวาคม 13:23:33 2002 GMT ไม่ก่อน: 5 ธันวาคม 13:23:33 2002 GMT
            ไม่ใช่หลังจาก: 5 ธันวาคม 13:23:33 2032 GMT ไม่หลังจาก: 5 ธันวาคม 13:23:33 2032 GMT
        เรื่อง: C = TW, O = การรับรองจากรูทของรัฐบาลเรื่อง: C = TW, O = การรับรองจากรูทของรัฐบาลออสเตรเลีย
        ข้อมูลคีย์สาธารณะของหัวเรื่อง: ข้อมูลคีย์สาธารณะของหัวเรื่อง:
            อัลกอริทึมกุญแจสาธารณะ: rsaEncryption อัลกอริทึมกุญแจสาธารณะ: rsaEncryption
                รหัสสาธารณะ RSA: (4096 บิต) รหัสสาธารณะ RSA: (4096 บิต)
                โมดูลัส: โมดูลัส:
                    00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7: f7: ce : 5b: 59
                    ... ...
                    95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3: 95: 23: b2: 0: f4: 79 : b4: c9
                    c1: 4a: 21 c1: 4a: 21
                เลขชี้กำลัง: 65537 (0x10001) เลขชี้กำลัง: 65537 (0x10001)
        ส่วนขยาย X509v3: ส่วนขยาย X509v3:
            X509v3 ตัวระบุคีย์หัวเรื่อง: X509v3 ตัวระบุคีย์หัวเรื่อง:
                CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3: B1: 92: B6: 3C: FA: 32: 62:
            X509v3 ข้อ จำกัด พื้นฐาน: ข้อ จำกัด พื้นฐาน X509v3:
                CA: TRUE CA: TRUE
            setCext-hashedRoot: setCext-hashedRoot:
                0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... กรัม * ........ " ... (6 .... 2.1
    อัลกอริธึมลายเซ็น: sha1WithRSAEncryption อัลกอริธึมลายเซ็นต์: sha1WithRSAEncryption
         40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: DD: 4f: 86: 74: 76: 58: f5: AE: ข
         ... ...
         e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: fc: 12
การใช้ที่เชื่อถือได้: <
  การป้องกันอีเมลการรับรองความถูกต้องของเซิร์ฟเวอร์เว็บ TLS <
ไม่มีการปฏิเสธการใช้งาน <
Alias: Taiwan GRCA <
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.