CentOS 6.5の/etc/pki/tls/certs
では、次のようになっています。
ca-bundle.crt
そして
ca-bundle.trust.crt
さまざまなファイルサイズ。 nginxproxy_ssl_trusted_certificate
の信頼パスとしてどちらを使用すればよいですか。
ca-bundle.trust.crt
は、「拡張検証」付きの証明書を保持しています。
「通常の」証明書とEV付きの証明書の違いは、EV証明書には、個人または会社の検証のようなものが必要です。つまり、パスポートによって個人の身元を検証する必要があります。
つまり、EV証明書を取得する場合は、パスポートなどで証明書発行者に自分自身を証明する必要があります。あなたが企業である場合、同等の手順(正確にはわかりません)を実行する必要があります。これはオンラインバンキングで最も重要です。接続するserverだけでなく、bankが認定されています。
そのため、EV証明書はより「複雑」になり、サーバーだけでなく会社も「識別する」ための追加フィールドが含まれています。
あなたの答えに戻るには:
使い方次第です。 ほとんどの人はca-bundle.crt
を使用する必要があります。非常に高いレベルの認証と「信頼」を必要とする銀行またはオンラインショップである場合は、ca-bundle.trust.crt
を使用する必要があります。
小さなPerlスクリプト を使用してバンドルを「分解」した後、台湾政府の証明書でdiff --side-by-side
を実行します(例として、それがバンドル内の唯一の証明書であるために取得されます) CN
およびIssuer
行にSubject
属性なし)(SHA1を使用しますが それは問題ありません )違いがわかります。
ca-bundle.trust.crt
からの証明書ca-bundle.crt
からの証明書-----信頼できる証明書の開始----- | ----- .____ MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA ... [.____。】LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT/rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT/rEUNE1yDM -----証明書を始めます。 ] pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS ----- END TRUSTED CERTIFICATE ----- | ----- END CERTIFICATE ----- 証明書:証明書: データ:データ: バージョン:3(0x2)バージョン:3(0x2) シリアル番号:シリアル番号: 1f:9d:59:5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6 1f:9d:59: 5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6 署名アルゴリズム:sha1WithRSAEncryption署名アルゴリズム:sha1WithRSAEncryption 発行者:C = TW、O =政府ルート証明Aut発行者:C = TW、O =政府ルート証明Aut 有効性有効性 以前:12月5日13:23:33 2002年GMT以前:12月5日13:23: 33 2002 GMT 不可ter:12月5日13:23:33 2032 GMT以降:12月5日13:23:33 2032 GMT 件名:C = TW、O =政府ルート認証Au件名:C = TW、O =政府ルート証明書Au サブジェクト公開鍵情報:サブジェクト公開鍵情報: 公開鍵アルゴリズム:rsaEncryption公開鍵アルゴリズム:rsaEncryption RSA公開鍵:(4096ビット)RSA公開鍵:(4096ビット) Modulus:Modulus: 00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59 00:9a: 25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59 ... ... 95:7a:98:c1:91:3c :95:23:b2:0e:f4:79:b4:c9 95:7a:98:c1:91:3c:95 :23:b2:0e:f4:79:b4:c9 c1:4a:21 c1:4a:21 指数:65537(0x10001)指数:65537(0x10001) X509v3拡張機能:X509v3拡張機能: X509v3サブジェクトキー識別子:X509v3サブジェクトキー識別子: CC:CC:EF:CC:29:60:A4:3B:B1:92:B6:3C :FA:32:62:CC:CC:EF:CC:29:60:A4:3B:B1:92:B6:3C:FA:32:62: X509v3基本制約:X509v3基本制約: CA:TRUE CA:TRUE setCext-hashedRoot:setCext-hashedRoot: 0/0 -... 0 ... + ...... 0 .. .g * ........ "...(6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * .. ...... "...(6 .... 2.1 署名アルゴリズム:sha1WithRSAEncryption署名アルゴリズム:sha1WithRSAEncryption 40:80:4a:fa:26:c9:ce:5e :30:dd:4f:86:74:76:58:f5:ae:b 40:80:4a:fa:26:c9:ce:5e:30:dd:4f:86:74:76:58: f5:ae:b ... ... e0:25:a5:86:2c:7c:f4:12 e0:25:a5:86:2c:7c:f4: 12 信頼できる使用:< 電子メール保護、TLS Webサーバー認証< 拒否された使用なし。 < エイリアス:台湾GRCA <