Sur CentOS 6.5, /etc/pki/tls/certsj'ai:
ca-bundle.crt
et
ca-bundle.trust.crt
Avec différentes tailles de fichiers. Que devrais-je utiliser comme chemin de confiance pour nginx proxy_ssl_trusted_certificate .
18
Sur CentOS 6.5, /etc/pki/tls/certsj'ai:
ca-bundle.crt
et
ca-bundle.trust.crt
Avec différentes tailles de fichiers. Que devrais-je utiliser comme chemin de confiance pour nginx proxy_ssl_trusted_certificate .
Réponses:
ca-bundle.trust.crt contient des certificats avec une "validation étendue".
La différence entre les certificats «normaux» et les certificats avec EV est que vos certificats EV ont besoin de quelque chose comme une validation personnelle ou d'entreprise en validant, par exemple, l'identité d'une personne par son passeport.
Cela signifie que si vous souhaitez obtenir un certificat ev, vous devrez vous identifier auprès de l'émetteur du certificat, c'est-à-dire avec votre passeport. Si vous "êtes" une entreprise, une procédure équivalente (je ne le sais pas exactement) doit se produire. Ceci est le plus essentiel pour les services bancaires en ligne: vous devez être sûr que non seulement le serveur auquel vous vous connectez est certifié, mais aussi que la banque est certifiée.
De ce fait, les certificats ev sont plus "compliqués" et contiennent des champs supplémentaires pour "identifier" non seulement le serveur mais aussi l'entreprise.
Pour revenir à votre réponse: cela dépend de votre utilisation. La plupart des gens devraient utiliser ca-bundle.crt. Si vous "êtes" une banque ou une boutique en ligne qui a besoin d'un très haut niveau de certification et de "confiance", vous devez utiliser ca-bundle.trust.crt.
la source
Après avoir "explosé" les bundles à l'aide d'un petit script Perl , puis exécuté
diff --side-by-sidesur le certificat du gouvernement de Taïwan (à titre d'exemple, uniquement parce qu'il s'agit du seul certificat du bundle sansCNattribut dans les lignesIssueretSubject) (utilise SHA1 mais c'est ok ) on voit la différence:ca-bundle.trust.crtgaucheca-bundle.crtdroite----- COMMENCER LE CERTIFICAT DE CONFIANCE ----- | ----- COMMENCER LE CERTIFICAT ----- MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAFAFA ... LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS ----- CERTIFICAT FIN DE CONFIANCE ----- | ----- CERTIFICAT FINAL ----- Certificat: Certificat: Données: Données: Version: 3 (0x2) Version: 3 (0x2) Numéro de série: Numéro de série: 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6 Algorithme de signature: sha1WithRSAEncryption Algorithme de signature: sha1WithRSAEncryption Émetteur: C = TW, O = gouvernement racine Certification Aut Émetteur: C = TW, O = gouvernement racine Certification Aut Validité Validité Pas avant: 5 déc 13:23:33 2002 GMT Pas avant: 5 déc 13:23:33 2002 GMT Pas après: 5 déc 13:23:33 2032 GMT Pas après: 5 déc 13:23:33 2032 GMT Objet: C = TW, O = Certification racine gouvernementale Au Sujet: C = TW, O = Certification racine gouvernementale Au Informations sur la clé publique du sujet: Informations sur la clé publique du sujet: Algorithme de clé publique: rsaEncryption Algorithme de clé publique: rsaEncryption Clé publique RSA: (4096 bits) Clé publique RSA: (4096 bits) Module: Module: 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59 ... ... 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9 c1: 4a: 21 c1: 4a: 21 Exposant: 65537 (0x10001) Exposant: 65537 (0x10001) Extensions X509v3: Extensions X509v3: Identifiant de clé de sujet X509v3: Identifiant de clé de sujet X509v3: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: Contraintes de base X509v3: Contraintes de base X509v3: CA: TRUE CA: TRUE setCext-hashedRoot: setCext-hashedRoot: 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 Algorithme de signature: sha1WithRSAEncryption Algorithme de signature: sha1WithRSAEncryption 40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b ... ... e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12 Utilisations fiables: < Protection des e-mails, authentification du serveur Web TLS < Aucune utilisation refusée. < Alias: Taiwan GRCA <la source