在 CentOS 6.5 上,/etc/pki/tls/certs
我有:
ca-bundle.crt
和
ca-bundle.trust.crt
具有不同的文件大小。我应该使用哪个作为信任路径nginx proxy_ssl_trusted_certificate
。
答案1
ca-bundle.trust.crt
持有“扩展验证”证书。
“普通”证书和 EV 证书之间的区别在于,EV 证书需要类似个人或公司验证的方式,即通过个人护照验证其身份。
这意味着,如果你想获得 EV 证书,你必须向证书颁发者表明自己的身份,即你的护照。如果你“是”一家公司,那么必须进行同等程序(不知道具体是什么)。这对于网上银行来说是最重要的:你必须确保不仅是服务器您连接的是经过认证的,而且银行已获得认证。
因此,EV 证书更加“复杂”,包含额外的字段来“识别”服务器和公司。
回到你的答案:
这取决于您的用途。大多数人应该都会使用ca-bundle.crt
。如果您“是”一家银行或一家网上商店,需要非常高级别的认证和“信任”,那么您应该使用ca-bundle.trust.crt
。
答案2
在使用小 Perl 脚本,然后在台湾政府的证书上运行diff --side-by-side
(仅作为示例,因为它是捆绑包中唯一没有和行属性的证书)CN
(使用 SHA1,但Issuer
Subject
没关系)我们可以看出区别:
ca-bundle.trust.crt
左侧的证书ca-bundle.crt
右侧的证书
-----开始受信任的证书----- | -----开始证书----- MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAAIaeNe9jANBgkqhkiG9w0BAQUFA ... LMDDav7v3Aun+kbfYNucpllQdSNpc5Oy+fwC00fmcc4QAu4njIT/rEUNE1yDM LMDDav7v3Aun+kbfYNucpllQdSNpc5Oy+fwC00fmcc4QAu4njIT/rEUNE1yDM pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ== | pYYsfPQS -----结束受信任的证书----- | -----结束证书----- 证书: 证书: 数据: 数据: 版本:3 (0x2) 版本:3 (0x2) 序列号: 序列号: 1f:9d:59:5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6 1f:9d:59:5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6 签名算法:sha1WithRSAEncryption 签名算法:sha1WithRSAEncryption 发行者:C = TW,O = 政府根认证 Aut 发行者:C = TW,O = 政府根认证 Aut 有效性 有效性 不早于:2002 年 12 月 5 日 13:23:33 GMT 不早于:2002 年 12 月 5 日 13:23:33 GMT 不晚于:2032 年 12 月 5 日 13:23:33 GMT 不晚于:2032 年 12 月 5 日 13:23:33 GMT 主题:C = TW,O = 政府根认证 Au 主题:C = TW,O = 政府根认证 Au 主题公钥信息: 主题公钥信息: 公钥算法:rsaEncryption 公钥算法:rsaEncryption RSA 公钥:(4096 位) RSA 公钥:(4096 位) 模量: 模量: 00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59 00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59 ... ... 95:7a:98:c1:91:3c:95:23:b2:0e:f4:79:b4:c9 95:7a:98:c1:91:3c:95:23:b2:0e:f4:79:b4:c9 c1:4a:21 c1:4a:21 指数:65537 (0x10001) 指数:65537 (0x10001) X509v3 扩展: X509v3 扩展: X509v3 主题密钥标识符: X509v3 主题密钥标识符: 抄送:抄送:EF:CC:29:60:A4:3B:B1:92:B6:3C:FA:32:62:抄送:EF:CC:29:60:A4:3B:B1:92:B6:3C:FA:32:62: X509v3 基本约束:X509v3 基本约束: CA:真实 CA:真实 设置Cext-hashedRoot: 设置Cext-hashedRoot: 0/0-...0...+......0...g*........“...(6....2.1 0/0-...0...+......0...g*........“...(6....2.1 签名算法:sha1WithRSAEncryption 签名算法:sha1WithRSAEncryption 40:80:4a:fa:26:c9:ce:5e:30:dd:4f:86:74:76:58:f5:ae:b 40:80:4a:fa:26:c9:ce:5e:30:dd:4f:86:74:76:58:f5:ae:b ... ... e0:25:a5:86:2c:7c:f4:12 e0:25:a5:86:2c:7c:f4:12 值得信赖的用途:< 电子邮件保护、TLS Web 服务器身份验证 < 没有被拒绝的用途。< 别名: 台湾GRCA <