Unterschied zwischen ca-bundle.crt und ca-bundle.trust.crt

17

Unter CentOS 6.5 habe /etc/pki/tls/certsich:

ca-bundle.crt

und

ca-bundle.trust.crt

Mit unterschiedlichen Dateigrößen. Welches sollte ich als Vertrauenspfad für Nginx verwenden proxy_ssl_trusted_certificate .

Justin
quelle
Das gleiche
Dateischema

Antworten:

12

ca-bundle.trust.crt enthält Zertifikate mit "erweiterter Validierung".

Der Unterschied zwischen "normalen" Zertifikaten und Zertifikaten mit EV besteht darin, dass Sie EV-Zertifikate so etwas wie eine Personen- oder Unternehmensvalidierung benötigen, indem Sie die Identität einer Person anhand ihres Passes validieren.

Dies bedeutet, dass Sie sich, wenn Sie ein EV-Zertifikat erhalten möchten, gegenüber dem Zertifikatsaussteller anhand Ihres Reisepasses identifizieren müssen. Wenn Sie ein Unternehmen sind, muss ein gleichwertiges Verfahren (das Sie nicht genau kennen) durchgeführt werden. Dies ist für das Online-Banking am wichtigsten: Sie müssen sicherstellen, dass nicht nur der Server, mit dem Sie eine Verbindung herstellen, zertifiziert ist, sondern auch die Bank .

Aus diesem Grund sind die EV-Zertifikate "komplizierter" und enthalten zusätzliche Felder, um nicht nur den Server, sondern auch das Unternehmen zu "identifizieren".

Um auf Ihre Antwort zurückzukommen: Es hängt von Ihrer Verwendung ab. Die meisten Leute sollten ca-bundle.crt benutzen. Wenn Sie eine Bank oder ein Online-Shop sind, die ein hohes Maß an Zertifizierung und Vertrauen benötigen, sollten Sie ca-bundle.trust.crt verwenden.

reichhart
quelle
1

Nachdem die Bundles mit einem kleinen Perl-Skript "aufgelöst" wurden , wird sie diff --side-by-sideauf dem Zertifikat der Regierung von Taiwan ausgeführt (als Beispiel, nur weil es das einzige Zertifikat im Bundle ohne CNAttribute in den Zeilen Issuerund Subjectist) (verwendet SHA1, aber das ist es) Okay, wir sehen den Unterschied:

  • Zertifikat von ca-bundle.trust.crtlinks
  • Zertifikat von ca-bundle.crtrechts
----- BEGINNEN SIE EIN VERTRAUENES ZERTIFIKAT ----- | ----- ZERTIFIKAT BEGINNEN -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUN
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- VERTRAUENES ZERTIFIKAT BEENDEN ----- | ----- ZERTIFIKAT BEENDEN -----
Zertifikat: Zertifikat:
    Daten: Daten:
        Version: 3 (0x2) Version: 3 (0x2)
        Seriennummer: Seriennummer:
            1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
        Signaturalgorithmus: sha1WithRSAEncryption Signaturalgorithmus: sha1WithRSAEncryption
        Emittent: C = TW, O = Stammzertifizierung der Regierung Aut. Emittent: C = TW, O = Stammzertifizierung der Regierung Aut
        Gültigkeit Gültigkeit
            Nicht vor: 5. Dezember, 13:23:33 Uhr (GMT) Nicht vor: 5. Dezember, 13:23:33 Uhr (GMT)
            Nicht danach: 5. Dezember 13:23:33 2032 GMT Nicht danach: 5. Dezember 13:23:33 2032 GMT
        Betreff: C = TW, O = Government Root Certification Au Betreff: C = TW, O = Government Root Certification Au
        Betreff Public Key Info: Betreff Public Key Info:
            Algorithmus für öffentliche Schlüssel: rsaEncryption Algorithmus für öffentliche Schlüssel: rsaEncryption
                RSA-öffentlicher Schlüssel: (4096 Bit) RSA-öffentlicher Schlüssel: (4096 Bit)
                Modul: Modul:
                    00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
                    ... ...
                    95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9
                    c1: 4a: 21 c1: 4a: 21
                Exponent: 65537 (0x10001) Exponent: 65537 (0x10001)
        X509v3-Erweiterungen: X509v3-Erweiterungen:
            X509v3-Betreffschlüssel-ID: X509v3-Betreffschlüssel-ID:
                CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
            Grundlegende Einschränkungen für X509v3: Grundlegende Einschränkungen für X509v3:
                CA: TRUE CA: TRUE
            setCext-hashedRoot: setCext-hashedRoot:
                0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1
    Signaturalgorithmus: sha1WithRSAEncryption Signaturalgorithmus: sha1WithRSAEncryption
         40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
         ... ...
         e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Vertrauenswürdige Verwendungen:
  E-Mail-Schutz, TLS-Webserver-Authentifizierung
Keine abgelehnten Verwendungen. <
Alias: Taiwan GRCA <
David Tonhofer
quelle