主页 / server / 问题 / 620003
Accepted
Justin
Asked: 2014-08-13 16:53:34 +0800 CST

ca-bundle.crt 和 ca-bundle.trust.crt 的区别

  • 772

在 CentOS 6.5 上,/etc/pki/tls/certs我有:

ca-bundle.crt


ca-bundle.trust.crt

具有不同的文件大小。我应该使用哪个作为nginx proxy_ssl_trusted_certificate的信任路径。

nginx

2 个回答

  1. Best Answer

    ca-bundle.trust.crt持有具有“扩展验证”的证书。

    “普通”证书和 EV 证书之间的区别在于,您的 EV 证书需要个人或公司验证之类的东西,即通过他/她的护照验证一个人的身份。

    这意味着如果您想获得 EV 证书,您必须通过您的护照向证书颁发者表明您的身份。如果您“是”一家公司,则必须执行等效程序(不确切知道)。这对于网上银行来说是最重要的:您必须确保不仅您连接的服务器是经过认​​证的,而且银行也是经过认证的。

    因此,EV 证书更加“复杂”,并且包含额外的字段来“识别”服务器和公司。

    回到你的答案:

    这取决于您的使用情况。大多数人应该使用ca-bundle.crt. 如果您“是”需要非常高水平的认证和“信任”的银行或在线商店,那么您应该使用ca-bundle.trust.crt.

    • 19

  2. 在使用一个小的 Perl 脚本“分解”捆绑包之后,然后diff --side-by-side在台湾政府的证书上运行(例如,仅因为它是捆绑包中唯一没有在和行CN中的属性的证书)(使用 SHA1,但那是好的)我们看到了区别:IssuerSubject

    • ca-bundle.trust.crt左侧的证书
    • ca-bundle.crt右侧的证书
    ------开始可信证书----- | -----开始证书-----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA
...
LMDDav7v3Aun+kbfYNucpllQdSNpc5Oy+fwC00fmcc4QAu4njIT/reUNE1yDM LMDDav7v3Aun+kbfYNucpllQdSNpc5Oy+fwC00fmcc4QAu4njIT/reUNE1yDM
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ== | pYYsfPQS
-----结束受信任的证书----- | -----结束证书-----
证书: 证书:
    数据: 数据:
        版本:3 (0x2) 版本:3 (0x2)
        序列号: 序列号:
            1f:9d:59:5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6 1f:9d:59:5a:d7:2f:c2:06:44:a5 :80:08:69:e3:5e:f6
        签名算法:sha1WithRSAEncryption 签名算法:sha1WithRSAEncryption
        颁发者:C = TW,O = 政府根认证授权 颁发者:C = TW,O = 政府根认证授权
        有效性有效性
            不早于:2002 年 12 月 5 日 13:23:33 GMT 不早于:2002 年 12 月 5 日 13:23:33 GMT
            不晚于:格林威治标准时间 2032 年 12 月 5 日 13:23:33 不晚于:格林威治标准时间 2032 年 12 月 5 日 13:23:33
        主题:C = TW,O = 政府根认证 Au 主题:C = TW,O = 政府根认证 Au
        主题公钥信息: 主题公钥信息:
            公钥算法:rsaEncryption 公钥算法:rsaEncryption
                RSA 公钥:(4096 位) RSA 公钥:(4096 位)
                模量: 模量:
                    00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59 00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce :5b:59
                    ……
                    95:7a:98:c1:91:3c:95:23:b2:0e:f4:79:b4:c9 95:7a:98:c1:91:3c:95:23:b2:0e:f4:79 :b4:c9
                    c1:4a:21 c1:4a:21
                指数:65537 (0x10001) 指数:65537 (0x10001)
        X509v3 扩展: X509v3 扩展:
            X509v3 主题密钥标识符: X509v3 主题密钥标识符:
                CC:CC:EF:CC:29:60:A4:3B:B1:92:B6:3C:FA:32:62: CC:CC:EF:CC:29:60:A4:3B:B1:92: B6:3C:FA:32:62:
            X509v3 基本约束: X509v3 基本约束:
                CA:真 CA:真
            setCext-hashedRoot: setCext-hashedRoot:
                0/0-...0...+......0...g*........"...(6....2.1 0/0-... 0...+......0...g*........"...(6....2.1
    签名算法:sha1WithRSAEncryption 签名算法:sha1WithRSAEncryption
         40:80:4a:fa:26:c9:ce:5e:30:dd:4f:86:74:76:58:f5:ae:b 40:80:4a:fa:26:c9:ce:5e :30:dd:4f:86:74:76:58:f5:ae:b
         ……
         e0:25:a5:86:2c:7c:f4:12 e0:25:a5:86:2c:7c:f4:12
值得信赖的用途:<
  电子邮件保护、TLS Web 服务器身份验证 <
没有被拒绝的用途。<
别名:台湾GRCA <
    • 1

相关问题