Różnica między ca-bundle.crt i ca-bundle.trust.crt

18

Na CentOS 6.5, /etc/pki/tls/certsmam:

ca-bundle.crt

i

ca-bundle.trust.crt

Z różnymi rozmiarami plików. Którego powinienem użyć jako ścieżki zaufania dla Nginx proxy_ssl_trusted_certificate .

Justin
źródło
ten sam schemat plików jest także używany w RHEL 7
maxschlepzig

Odpowiedzi:

12

ca-bundle.trust.crt przechowuje certyfikaty z „rozszerzoną weryfikacją”.

Różnica między „normalnymi” certyfikatami a certyfikatami z EV polega na tym, że twoje certyfikaty EV potrzebują czegoś takiego jak weryfikacja osobista lub firmowa poprzez np. Sprawdzenie tożsamości osoby na podstawie jej paszportu.

Oznacza to, że jeśli chcesz uzyskać certyfikat ev, będziesz musiał przedstawić się wystawcy certyfikatu, np. Poprzez paszport. Jeśli „jesteś” firmą, musi się wydarzyć równoważna procedura (nie wiem dokładnie). Jest to najbardziej istotne w przypadku bankowości internetowej: musisz mieć pewność, że nie tylko serwer, z którym się łączysz, jest certyfikowany, ale także bank ma certyfikat.

Z tego powodu certyfikaty ev są bardziej „skomplikowane” i zawierają dodatkowe pola do „identyfikacji” nie tylko serwera, ale także firmy.

Aby wrócić do swojej odpowiedzi: To zależy od twojego użycia. Większość ludzi powinna używać pliku ca-bundle.crt. Jeśli „jesteś” bankiem lub sklepem internetowym, który wymaga bardzo wysokiego poziomu certyfikacji i „zaufania”, powinieneś użyć pliku ca-bundle.trust.crt.

reichhart
źródło
1

Po „eksplodowaniu” pakietów za pomocą małego skryptu Perl , a następnie uruchomieniu diff --side-by-sidena certyfikacie rządu Tajwanu (przykładowo, biorąc pod uwagę tylko dlatego, że jest to jedyny certyfikat w pakiecie bez CNatrybutu w wierszach Issueri Subject) (używa SHA1, ale to ok ) widzimy różnicę:

  • Certyfikat z ca-bundle.trust.crtlewej strony
  • Certyfikat z ca-bundle.crtprawej strony
----- ROZPOCZNIJ ZAUFANY CERTYFIKAT ----- | ----- ROZPOCZNIJ CERTYFIKAT -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rE
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- KONIEC ZAUFANYCH CERTYFIKATÓW ----- | ----- KONIEC CERTYFIKATU -----
Certyfikat: Certyfikat:
    Dane: Dane:
        Wersja: 3 (0x2) Wersja: 3 (0x2)
        Numer seryjny: Numer seryjny:
            1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
        Algorytm podpisu: sha1WithRSAEncryption Algorytm podpisu: sha1WithRSAEncryption
        Emitent: C = TW, O = Autorytet główny rządu Emitent: C = TW, O = Autorytet główny rządu
        Ważność Ważność
            Nie wcześniej: 5 grudnia 13:23:33 GMT Nie wcześniej: 5 grudnia 13:23:33 2002 GMT
            Nie po: 5 grudnia 13:23:33 2032 GMT Nie po: 5 grudnia 13:23:33 2032 GMT
        Temat: C = TW, O = Rządowa certyfikacja root Au Przedmiot: C = TW, O = Rządowa certyfikacja root Au
        Temat klucza publicznego: Temat klucza publicznego:
            Algorytm klucza publicznego: rsaEncryption Algorytm klucza publicznego: rsaEncryption
                Klucz publiczny RSA: (4096 bitów) Klucz publiczny RSA: (4096 bitów)
                Moduł: Moduł:
                    00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
                    ... ...
                    95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9
                    c1: 4a: 21 c1: 4a: 21
                Wykładnik: 65537 (0x10001) Wykładnik: 65537 (0x10001)
        Rozszerzenia X509v3: Rozszerzenia X509v3:
            Identyfikator klucza podmiotu X509v3: Identyfikator klucza podmiotu X509v3:
                CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
            Podstawowe ograniczenia X509v3: Podstawowe ograniczenia X509v3:
                CA: PRAWDA CA: PRAWDA
            setCext-hashedRoot: setCext-hashedRoot:
                0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2,1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1
    Algorytm podpisu: sha1WithRSAEncryption Algorytm podpisu: sha1WithRSAEncryption
         40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
         ... ...
         e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Zaufane zastosowania: <
  Ochrona poczty e-mail, uwierzytelnianie serwera TLS Web <
Bez odrzuconych zastosowań. <
Alias: Taiwan GRCA <
David Tonhofer
źródło