Différence entre ca-bundle.crt et ca-bundle.trust.crt

18

Sur CentOS 6.5, /etc/pki/tls/certsj'ai:

ca-bundle.crt

et

ca-bundle.trust.crt

Avec différentes tailles de fichiers. Que devrais-je utiliser comme chemin de confiance pour nginx proxy_ssl_trusted_certificate .

Justin
la source
le même schéma de fichiers est également utilisé sous RHEL 7
maxschlepzig

Réponses:

12

ca-bundle.trust.crt contient des certificats avec une "validation étendue".

La différence entre les certificats «normaux» et les certificats avec EV est que vos certificats EV ont besoin de quelque chose comme une validation personnelle ou d'entreprise en validant, par exemple, l'identité d'une personne par son passeport.

Cela signifie que si vous souhaitez obtenir un certificat ev, vous devrez vous identifier auprès de l'émetteur du certificat, c'est-à-dire avec votre passeport. Si vous "êtes" une entreprise, une procédure équivalente (je ne le sais pas exactement) doit se produire. Ceci est le plus essentiel pour les services bancaires en ligne: vous devez être sûr que non seulement le serveur auquel vous vous connectez est certifié, mais aussi que la banque est certifiée.

De ce fait, les certificats ev sont plus "compliqués" et contiennent des champs supplémentaires pour "identifier" non seulement le serveur mais aussi l'entreprise.

Pour revenir à votre réponse: cela dépend de votre utilisation. La plupart des gens devraient utiliser ca-bundle.crt. Si vous "êtes" une banque ou une boutique en ligne qui a besoin d'un très haut niveau de certification et de "confiance", vous devez utiliser ca-bundle.trust.crt.

reichhart
la source
1

Après avoir "explosé" les bundles à l'aide d'un petit script Perl , puis exécuté diff --side-by-sidesur le certificat du gouvernement de Taïwan (à titre d'exemple, uniquement parce qu'il s'agit du seul certificat du bundle sans CNattribut dans les lignes Issueret Subject) (utilise SHA1 mais c'est ok ) on voit la différence:

  • Certificat de ca-bundle.trust.crtgauche
  • Certificat de ca-bundle.crtdroite
----- COMMENCER LE CERTIFICAT DE CONFIANCE ----- | ----- COMMENCER LE CERTIFICAT -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAFAFA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- CERTIFICAT FIN DE CONFIANCE ----- | ----- CERTIFICAT FINAL -----
Certificat: Certificat:
    Données: Données:
        Version: 3 (0x2) Version: 3 (0x2)
        Numéro de série: Numéro de série:
            1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
        Algorithme de signature: sha1WithRSAEncryption Algorithme de signature: sha1WithRSAEncryption
        Émetteur: C = TW, O = gouvernement racine Certification Aut Émetteur: C = TW, O = gouvernement racine Certification Aut
        Validité Validité
            Pas avant: 5 déc 13:23:33 2002 GMT Pas avant: 5 déc 13:23:33 2002 GMT
            Pas après: 5 déc 13:23:33 2032 GMT Pas après: 5 déc 13:23:33 2032 GMT
        Objet: C = TW, O = Certification racine gouvernementale Au Sujet: C = TW, O = Certification racine gouvernementale Au
        Informations sur la clé publique du sujet: Informations sur la clé publique du sujet:
            Algorithme de clé publique: rsaEncryption Algorithme de clé publique: rsaEncryption
                Clé publique RSA: (4096 bits) Clé publique RSA: (4096 bits)
                Module: Module:
                    00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
                    ... ...
                    95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9
                    c1: 4a: 21 c1: 4a: 21
                Exposant: 65537 (0x10001) Exposant: 65537 (0x10001)
        Extensions X509v3: Extensions X509v3:
            Identifiant de clé de sujet X509v3: Identifiant de clé de sujet X509v3:
                CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
            Contraintes de base X509v3: Contraintes de base X509v3:
                CA: TRUE CA: TRUE
            setCext-hashedRoot: setCext-hashedRoot:
                0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1
    Algorithme de signature: sha1WithRSAEncryption Algorithme de signature: sha1WithRSAEncryption
         40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
         ... ...
         e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Utilisations fiables: <
  Protection des e-mails, authentification du serveur Web TLS <
Aucune utilisation refusée. <
Alias: Taiwan GRCA <
David Tonhofer
la source