Perbedaan antara ca-bundle.crt dan ca-bundle.trust.crt

18

Pada CentOS 6.5, di /etc/pki/tls/certssaya punya:

ca-bundle.crt

dan

ca-bundle.trust.crt

Dengan ukuran file yang berbeda. Yang harus saya gunakan sebagai jalur kepercayaan untuk nginx proxy_ssl_trusted_certificate .

nginx openssl certificate-authority Justin
sumber
skema file yang sama juga digunakan di bawah RHEL 7
maxschlepzig

Jawaban:

12

ca-bundle.trust.crt memiliki sertifikat dengan "perpanjangan validasi".

Perbedaan antara sertifikat "normal" dan sertifikat dengan EV adalah bahwa Anda sertifikat EV memerlukan sesuatu seperti validasi pribadi atau perusahaan dengan memvalidasi identitas seseorang dengan paspornya.

Ini berarti bahwa jika Anda ingin mendapatkan sertifikat Anda harus mengidentifikasi diri Anda kepada penerbit sertifikat dengan paspor Anda. Jika Anda "adalah" perusahaan maka prosedur yang setara (tidak tahu persisnya) harus terjadi. Ini sangat penting untuk perbankan online: Anda harus yakin bahwa tidak hanya server yang Anda sambungkan yang tersertifikasi tetapi juga bank tersebut tersertifikasi.

Karena itu sertifikat lebih "rumit" dan mengandung bidang tambahan untuk "mengidentifikasi" tidak hanya server tetapi juga perusahaan.

Untuk kembali ke jawaban Anda: Itu tergantung pada penggunaan Anda. Kebanyakan orang harus menggunakan ca-bundle.crt. Jika Anda "adalah" bank atau toko online yang membutuhkan tingkat sertifikasi dan "kepercayaan" yang sangat tinggi, maka Anda harus menggunakan ca-bundle.trust.crt.

reichhart
sumber
1

Setelah "meledak" bundel menggunakan skrip Perl kecil , kemudian berjalan diff --side-by-sidepada sertifikat Pemerintah Taiwan (sebagai contoh, diambil hanya karena itu adalah satu-satunya sertifikat dalam bundel tanpa CNatribut di dalam Issuerdan Subjectbaris) (menggunakan SHA1 tapi itu oke ) kita melihat perbedaannya:

  • Sertifikat dari ca-bundle.trust.crtsebelah kiri
  • Sertifikat dari ca-bundle.crtsebelah kanan
----- SERTIFIKAT DIPERCAYA DIMULAI ----- | ----- MEMULAI SERTIFIKAT -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqwMUGA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4n1jT /
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- AKHIR SERTIFIKAT AKHIR ----- | ----- AKHIR SERTIFIKAT -----
Sertifikat: sertifikat:
    Data: Data:
        Versi: 3 (0x2) Versi: 3 (0x2)
        Nomor Seri: Nomor Seri:
            1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59d: 59a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
        Algoritma Tanda Tangan: sha1WithRSAEncryption Algoritma Signature: sha1WithRSAEncryption
        Penerbit: C = TW, O = Sertifikasi Root Root Pemerintah Penerbit: C = TW, O = Sertifikasi Root Root Pemerintah Aut
        Validitas Validitas
            Not Before: Dec 5 13:23:33 2002 GMT Not Before: Dec 5 13:23:33 2002 GMT
            Not After: Dec 5 13:23:33 2032 GMT Not After: Dec 5 13:23:33 2032 GMT
        Subjek: C = TW, O = Sertifikasi Root Pemerintah Au Subjek: C = TW, O = Sertifikasi Root Pemerintah Au
        Info Kunci Publik Subjek: Info Kunci Publik Subjek:
            Algoritma Kunci Publik: rsaEncryption Algoritma Kunci Publik: rsaEncryption
                Kunci Publik RSA: (4096 bit) Kunci Publik RSA: (4096 bit)
                Modulus: Modulus:
                    00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
                    ... ...
                    95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9
                    c1: 4a: 21 c1: 4a: 21
                Eksponen: 65537 (0x10001) Eksponen: 65537 (0x10001)
        Ekstensi X509v3: Ekstensi X509v3:
            X509v3 Identifikasi Kunci Subjek: X509v3 Identifikasi Kunci Subjek:
                CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
            X509v3 Kendala Dasar: X509v3 Kendala Dasar:
                CA: BENAR CA: BENAR
            setCext-hashedRoot: setCext-hashedRoot:
                0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1
    Algoritma Tanda Tangan: sha1WithRSAEncryption Algoritma Signature: sha1WithRSAEncryption
         40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
         ... ...
         e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Penggunaan Tepercaya: <
  Perlindungan E-mail, Otentikasi Server Web TLS <
Tidak Ada Penggunaan yang Ditolak. <
Alias: GRCA Taiwan <
David Tonhofer
sumber