Na CentOS 6.5, /etc/pki/tls/certs
mam:
ca-bundle.crt
i
ca-bundle.trust.crt
Z różnymi rozmiarami plików. Którego powinienem użyć jako ścieżki zaufania dla Nginx proxy_ssl_trusted_certificate
.
nginx
openssl
certificate-authority
Justin
źródło
źródło
Odpowiedzi:
ca-bundle.trust.crt przechowuje certyfikaty z „rozszerzoną weryfikacją”.
Różnica między „normalnymi” certyfikatami a certyfikatami z EV polega na tym, że twoje certyfikaty EV potrzebują czegoś takiego jak weryfikacja osobista lub firmowa poprzez np. Sprawdzenie tożsamości osoby na podstawie jej paszportu.
Oznacza to, że jeśli chcesz uzyskać certyfikat ev, będziesz musiał przedstawić się wystawcy certyfikatu, np. Poprzez paszport. Jeśli „jesteś” firmą, musi się wydarzyć równoważna procedura (nie wiem dokładnie). Jest to najbardziej istotne w przypadku bankowości internetowej: musisz mieć pewność, że nie tylko serwer, z którym się łączysz, jest certyfikowany, ale także bank ma certyfikat.
Z tego powodu certyfikaty ev są bardziej „skomplikowane” i zawierają dodatkowe pola do „identyfikacji” nie tylko serwera, ale także firmy.
Aby wrócić do swojej odpowiedzi: To zależy od twojego użycia. Większość ludzi powinna używać pliku ca-bundle.crt. Jeśli „jesteś” bankiem lub sklepem internetowym, który wymaga bardzo wysokiego poziomu certyfikacji i „zaufania”, powinieneś użyć pliku ca-bundle.trust.crt.
źródło
Po „eksplodowaniu” pakietów za pomocą małego skryptu Perl , a następnie uruchomieniu
diff --side-by-side
na certyfikacie rządu Tajwanu (przykładowo, biorąc pod uwagę tylko dlatego, że jest to jedyny certyfikat w pakiecie bezCN
atrybutu w wierszachIssuer
iSubject
) (używa SHA1, ale to ok ) widzimy różnicę:ca-bundle.trust.crt
lewej stronyca-bundle.crt
prawej stronyźródło