ca-bundle.crt 和 ca-bundle.trust.crt 之间的区别

ca-bundle.crt 和 ca-bundle.trust.crt 之间的区别

在 CentOS 6.5 上,/etc/pki/tls/certs我有:

ca-bundle.crt

ca-bundle.trust.crt

具有不同的文件大小。我应该使用哪个作为信任路径nginx proxy_ssl_trusted_certificate

答案1

ca-bundle.trust.crt持有“扩展验证”证书。

“普通”证书和 EV 证书之间的区别在于,EV 证书需要类似个人或公司验证的方式,即通过个人护照验证其身份。

这意味着,如果你想获得 EV 证书,你必须向证书颁发者表明自己的身份,即你的护照。如果你“是”一家公司,那么必须进行同等程序(不知道具体是什么)。这对于网上银行来说是最重要的:你必须确保不仅是服务器您连接的是经过认证的,而且银行已获得认证。

因此,EV 证书更加“复杂”,包含额外的字段来“识别”服务器和公司。

回到你的答案:

这取决于您的用途。大多数人应该都会使用ca-bundle.crt如果您“是”一家银行或一家网上商店,需要非常高级别的认证和“信任”,那么您应该使用ca-bundle.trust.crt

答案2

在使用小 Perl 脚本,然后在台湾政府的证书上运行diff --side-by-side(仅作为示例,因为它是捆绑包中唯一没有和行属性的证书)CN(使用 SHA1,但IssuerSubject没关系)我们可以看出区别:

  • ca-bundle.trust.crt左侧的证书
  • ca-bundle.crt右侧的证书
-----开始受信任的证书----- | -----开始证书-----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAAIaeNe9jANBgkqhkiG9w0BAQUFA
...
LMDDav7v3Aun+kbfYNucpllQdSNpc5Oy+fwC00fmcc4QAu4njIT/rEUNE1yDM LMDDav7v3Aun+kbfYNucpllQdSNpc5Oy+fwC00fmcc4QAu4njIT/rEUNE1yDM
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ== | pYYsfPQS
-----结束受信任的证书----- | -----结束证书-----
证书: 证书:
    数据: 数据:
        版本:3 (0x2) 版本:3 (0x2)
        序列号: 序列号:
            1f:9d:59:5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6 1f:9d:59:5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6
        签名算法:sha1WithRSAEncryption 签名算法:sha1WithRSAEncryption
        发行者:C = TW,O = 政府根认证 Aut 发行者:C = TW,O = 政府根认证 Aut
        有效性 有效性
            不早于:2002 年 12 月 5 日 13:23:33 GMT 不早于:2002 年 12 月 5 日 13:23:33 GMT
            不晚于:2032 年 12 月 5 日 13:23:33 GMT 不晚于:2032 年 12 月 5 日 13:23:33 GMT
        主题:C = TW,O = 政府根认证 Au 主题:C = TW,O = 政府根认证 Au
        主题公钥信息: 主题公钥信息:
            公钥算法:rsaEncryption 公钥算法:rsaEncryption
                RSA 公钥:(4096 位) RSA 公钥:(4096 位)
                模量: 模量:
                    00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59 00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59
                    ... ...
                    95:7a:98:c1:91:3c:95:23:b2:0e:f4:79:b4:c9 95:7a:98:c1:91:3c:95:23:b2:0e:f4:79:b4:c9
                    c1:4a:21 c1:4a:21
                指数:65537 (0x10001) 指数:65537 (0x10001)
        X509v3 扩展: X509v3 扩展:
            X509v3 主题密钥标识符: X509v3 主题密钥标识符:
                抄送:抄送:EF:CC:29:60:A4:3B:B1:92:B6:3C:FA:32:62:抄送:EF:CC:29:60:A4:3B:B1:92:B6:3C:FA:32:62:
            X509v3 基本约束:X509v3 基本约束:
                CA:真实 CA:真实
            设置Cext-hashedRoot: 设置Cext-hashedRoot:
                0/0-...0...+......0...g*........“...(6....2.1 0/0-...0...+......0...g*........“...(6....2.1
    签名算法:sha1WithRSAEncryption 签名算法:sha1WithRSAEncryption
         40:80:4a:fa:26:c9:ce:5e:30:dd:4f:86:74:76:58:f5:ae:b 40:80:4a:fa:26:c9:ce:5e:30:dd:4f:86:74:76:58:f5:ae:b
         ... ...
         e0:25:a5:86:2c:7c:f4:12 e0:25:a5:86:2c:7c:f4:12
值得信赖的用途:<
  电子邮件保护、TLS Web 服务器身份验证 <
没有被拒绝的用途。<
别名: 台湾GRCA <

相关内容