web-dev-qa-db-ja.com

ca-bundle.crtとca-bundle.trust.crtの違い

CentOS 6.5の/etc/pki/tls/certsでは、次のようになっています。

ca-bundle.crt

そして

ca-bundle.trust.crt

さまざまなファイルサイズ。 nginxproxy_ssl_trusted_certificateの信頼パスとしてどちらを使用すればよいですか。

18
Justin

ca-bundle.trust.crtは、「拡張検証」付きの証明書を保持しています。

「通常の」証明書とEV付きの証明書の違いは、EV証明書には、個人または会社の検証のようなものが必要です。つまり、パスポートによって個人の身元を検証する必要があります。

つまり、EV証明書を取得する場合は、パスポートなどで証明書発行者に自分自身を証明する必要があります。あなたが企業である場合、同等の手順(正確にはわかりません)を実行する必要があります。これはオンラインバンキングで最も重要です。接続するserverだけでなく、bankが認定されています。

そのため、EV証明書はより「複雑」になり、サーバーだけでなく会社も「識別する」ための追加フィールドが含まれています。

あなたの答えに戻るには:

使い方次第です。 ほとんどの人はca-bundle.crtを使用する必要があります。非常に高いレベルの認証と「信頼」を必要とする銀行またはオンラインショップである場合は、ca-bundle.trust.crtを使用する必要があります。

12
reichhart

小さなPerlスクリプト を使用してバンドルを「分解」した後、台湾政府の証明書でdiff --side-by-sideを実行します(例として、それがバンドル内の唯一の証明書であるために取得されます) CNおよびIssuer行にSubject属性なし)(SHA1を使用しますが それは問題ありません )違いがわかります。

  • 左側のca-bundle.trust.crtからの証明書
  • 右側のca-bundle.crtからの証明書
 -----信頼できる証明書の開始----- | ----- .____ 
 MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA 
 ... [.____。】LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT/rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT/rEUNE1yDM -----証明書を始めます。 ] pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS 
 ----- END TRUSTED CERTIFICATE ----- | ----- END CERTIFICATE ----- 
証明書:証明書:
データ:データ:
バージョン:3(0x2)バージョン:3(0x2)
シリアル番号:シリアル番号:
 1f:9d:59:5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6 1f:9d:59: 5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6 
署名アルゴリズム:sha1WithRSAEncryption署名アルゴリズム:sha1WithRSAEncryption 
発行者:C = TW、O =政府ルート証明Aut発行者:C = TW、O =政府ルート証明Aut 
有効性有効性
以前:12月5日13:23:33 2002年GMT以前:12月5日13:23: 33 2002 GMT 
不可ter:12月5日13:23:33 2032 GMT以降:12月5日13:23:33 2032 GMT 
件名:C = TW、O =政府ルート認証Au件名:C = TW、O =政府ルート証明書Au 
サブジェクト公開鍵情報:サブジェクト公開鍵情報:
公開鍵アルゴリズム:rsaEncryption公開鍵アルゴリズム:rsaEncryption 
 RSA公開鍵:(4096ビット)RSA公開鍵:(4096ビット)
 Modulus:Modulus:
 00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59 00:9a: 25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59 
 ... ... 
 95:7a:98:c1:91:3c :95:23:b2:0e:f4:79:b4:c9 95:7a:98:c1:91:3c:95 :23:b2:0e:f4:79:b4:c9 
 c1:4a:21 c1:4a:21 
指数:65537(0x10001)指数:65537(0x10001)
 X509v3拡張機能:X509v3拡張機能:
 X509v3サブジェクトキー識別子:X509v3サブジェクトキー識別子:
 CC:CC:EF:CC:29:60:A4:3B:B1:92:B6:3C :FA:32:62:CC:CC:EF:CC:29:60:A4:3B:B1:92:B6:3C:FA:32:62:
 X509v3基本制約:X509v3基本制約: 
 CA:TRUE CA:TRUE 
 setCext-hashedRoot:setCext-hashedRoot:
 0/0 -... 0 ... + ...... 0 .. .g * ........ "...(6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * .. ...... "...(6 .... 2.1 
署名アルゴリズム:sha1WithRSAEncryption署名アルゴリズム:sha1WithRSAEncryption 
 40:80:4a:fa:26:c9:ce:5e :30:dd:4f:86:74:76:58:f5:ae:b 40:80:4a:fa:26:c9:ce:5e:30:dd:4f:86:74:76:58: f5:ae:b 
 ... ... 
 e0:25:a5:86:2c:7c:f4:12 e0:25:a5:86:2c:7c:f4: 12 
信頼できる使用:<
電子メール保護、TLS Webサーバー認証<
拒否された使用なし。 <
エイリアス:台湾GRCA <
1
David Tonhofer