No CentOS 6.5, /etc/pki/tls/certstenho:
ca-bundle.crt
e
ca-bundle.trust.crt
Com diferentes tamanhos de arquivo. Qual devo usar como caminho de confiança para o nginx proxy_ssl_trusted_certificate .
nginx
openssl
certificate-authority
Justin
fonte
fonte
Respostas:
ca-bundle.trust.crt possui certificados com "validação estendida".
A diferença entre certificados "normais" e certificados com VE é que você precisa de algo como uma validação pessoal ou da empresa, ou seja, validando a identidade de uma pessoa pelo seu passaporte.
Isso significa que, se você deseja obter um certificado, precisará se identificar com o emissor do certificado, como seu passaporte. Se você é uma empresa, um procedimento equivalente (não o sei exatamente) deve acontecer. Isso é essencial para o banco on-line: você deve ter certeza de que não apenas o servidor ao qual você se conecta é certificado, mas também o banco .
Por esse motivo, os eventos são mais "complicados" e contêm campos adicionais para "identificar" não apenas o servidor, mas também a empresa.
Para voltar à sua resposta: Depende do seu uso. A maioria das pessoas deve usar ca-bundle.crt. Se você "é" um banco ou uma loja on-line que precisa de um nível muito alto de certificação e "confiança", use ca-bundle.trust.crt.
fonte
Depois de "explodir" os pacotes configuráveis usando um pequeno script Perl , em seguida, executar
diff --side-by-sideo certificado do Governo de Taiwan (por exemplo, tomado apenas porque é o único certificado do pacote configurável semCNatributo nas linhasIssuereSubject) (usa SHA1, mas é ok ) vemos a diferença:ca-bundle.trust.crtesquerdaca-bundle.crtlado direito----- COMEÇAR CERTIFICADO CONFIÁVEL ----- | ----- COMEÇAR CERTIFICADO ----- MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BA ... LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS ----- CERTIFICADO DE CONFIANÇA FINAL ----- | ----- TERMINAR CERTIFICADO ----- Certificado: Certificado: Dados: Dados: Versão: 3 (0x2) Versão: 3 (0x2) Número de série: Número de série: 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6 Algoritmo de assinatura: sha1WithRSAEncryption Algoritmo de assinatura: sha1WithRSAEncryption Emissor: C = TW, O = Aut de certificação raiz do governo Emissor: C = TW, O = Aut de certificação raiz do governo Validade Validade Não antes: 5 de dezembro 13:23:33 2002 GMT Não antes: 5 de dezembro 13:23:33 2002 GMT Não Depois: 5 de dezembro 13:23:33 2032 GMT Não Depois: 5 de dezembro 13:23:33 2032 GMT Assunto: C = TW, O = Certificação raiz do governo Au Assunto: C = TW, O = certificação raiz do governo Au Informações da chave pública do sujeito: Informações da chave pública do sujeito: Algoritmo de chave pública: rsaEncryption Algoritmo de chave pública: rsaEncryption Chave pública RSA: (4096 bits) Chave pública RSA: (4096 bits) Módulo: Módulo: 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59 ... ... 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9 c1: 4a: 21 c1: 4a: 21 Expoente: 65537 (0x10001) Expoente: 65537 (0x10001) Extensões X509v3: Extensões X509v3: Identificador da chave do assunto X509v3: Identificador da chave do assunto X509v3: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: Restrições básicas do X509v3: Restrições básicas do X509v3: CA: TRUE CA: TRUE setCext-hashedRoot: setCext-hashedRoot: 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2,1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2,1 Algoritmo de assinatura: sha1WithRSAEncryption Algoritmo de assinatura: sha1WithRSAEncryption 40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b ... ... e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12 Usos confiáveis: < Proteção de email, autenticação de servidor Web TLS < Nenhum uso rejeitado. < Alias: Taiwan GRCA <fonte