ca-bundle.crt와 ca-bundle.trust.crt의 차이점


18

CentOS 6.5에서는 다음이 /etc/pki/tls/certs있습니다.

ca-bundle.crt

ca-bundle.trust.crt

파일 크기가 다릅니다. 어떤 난에 대한 신뢰 경로로 사용해야 의 nginx proxy_ssl_trusted_certificate .


같은 파일 방식도 RHEL 7에서 사용
maxschlepzig

답변:


12

ca-bundle.trust.crt는 "확장 유효성 검사"가 포함 된 인증서를 보유합니다.

"정상"인증서와 EV가 포함 된 인증서의 차이점은 EV 인증서에는 개인 또는 회사의 검증과 같은 것이 필요합니다. 즉, 여권으로 개인의 신원을 확인해야합니다.

즉, ev 인증서를 받으려면 여권을 통해 인증서 발급자에게 본인을 확인해야합니다. 당신이 "회사"라면, 동등한 절차 (정확히 모름)가 발생해야합니다. 온라인 뱅킹에 가장 중요 합니다. 연결 하는 서버 뿐만 아니라 은행 도 인증해야합니다.

그 때문에 ev 인증서는 더 "복잡해지고"서버뿐만 아니라 회사를 "식별"하기위한 추가 필드를 포함합니다.

답으로 돌아가려면 사용법에 따라 다릅니다. 대부분의 사람들은 ca-bundle.crt를 사용해야합니다. 매우 높은 수준의 인증과 "신뢰"가 필요한 은행이나 온라인 상점 인 경우 ca-bundle.trust.crt를 사용해야합니다.


1

사용하여 번들 "폭발"후 작은 펄 스크립트를 다음이 실행 diff --side-by-side대만 정부의 인증서 (이 번들에있는 유일한 인증서하지 않고 있기 때문에 예로서 만 촬영 CN에 속성 IssuerSubject(사용의 SHA1하지만 선) 이의 좋아 ) 우리는 차이점을 본다.

  • ca-bundle.trust.crt왼쪽의 증명서
  • ca-bundle.crt오른쪽의 인증서
----- 신뢰할 수있는 인증서 시작 ----- | ----- 인증서 시작 -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- 최신 신뢰할 수있는 인증서 ----- | ----- 종료 증명서 -----
증명서 : 증명서 :
    데이터 : 데이터 :
        버전 : 3 (0x2) 버전 : 3 (0x2)
        일련 번호 : 일련 번호 :
            1f : 9d : 59 : 5a : d7 : 2f : c2 : 06 : 44 : a5 : 80 : 08 : 69 : e3 : 5e : f6 1f : 9d : 59 : 5a : d7 : 2f : c2 : 06 : 44 : a5 : 80 : 08 : 69 : e3 : 5e : f6
        서명 알고리즘 : sha1WithRSAEncryption 서명 알고리즘 : sha1WithRSAEncryption
        발급자 : C = TW, O = 정부 루트 인증 Aut 발급자 : C = TW, O = 정부 루트 인증 Aut
        유효성 유효성
            비정기 : 12 월 5 일 13:23:33 2002 GMT 비정기 : 12 월 5 일 13:23:33 2002 GMT
            후 : 12 월 5 일 13:23:33 2032 GMT 후 : 12 월 5 일 13:23:33 2032 GMT
        주제 : C = TW, O = 정부 루트 인증 Au 주제 : C = TW, O = 정부 루트 인증 Au
        주제 공개 키 정보 : 주제 공개 키 정보 :
            공개 키 알고리즘 : rsaEncryption 공개 키 알고리즘 : rsaEncryption
                RSA 공개 키 : (4096 비트) RSA 공개 키 : (4096 비트)
                모듈러스 : 모듈러스 :
                    00 : 9a : 25 : b8 : ec : cc : a2 : 75 : a8 : 7b : f7 : ce : 5b : 59 00 : 9a : 25 : b8 : ec : cc : a2 : 75 : a8 : 7b : f7 : ce : 5b : 59
                    ... ...
                    95 : 7a : 98 : c1 : 91 : 3c : 95 : 23 : b2 : 0e : f4 : 79 : b4 : c9 95 : 7a : 98 : c1 : 91 : 3c : 95 : 23 : b2 : 0e : f4 : 79 : b4 : c9
                    c1 : 4a : 21 c1 : 4a : 21
                지수 : 65537 (0x10001) 지수 : 65537 (0x10001)
        X509v3 확장명 : X509v3 확장명 :
            X509v3 주제 키 식별자 : X509v3 주제 키 식별자 :
                CC : CC : EF : CC : 29 : 60 : A4 : 3B : B1 : 92 : B6 : 3C : FA : 32 : 62 : CC : CC : EF : CC : 29 : 60 : A4 : 3B : B1 : 92 : B6 : 3C : FA : 32 : 62 :
            X509v3 기본 제약 : X509v3 기본 제약 :
                CA : TRUE CA : TRUE
            setCext-hashedRoot : setCext-hashedRoot :
                0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1
    서명 알고리즘 : sha1WithRSAEncryption 서명 알고리즘 : sha1WithRSAEncryption
         40 : 80 : 4a : fa : 26 : c9 : ce : 5e : 30 : dd : 4f : 86 : 74 : 76 : 58 : f5 : ae : b 40 : 80 : 4a : fa : 26 : c9 : ce : 5e : 30 : dd : 4f : 86 : 74 : 76 : 58 : f5 : ae : b
         ... ...
         e0 : 25 : a5 : 86 : 2c : 7c : f4 : 12 e0 : 25 : a5 : 86 : 2c : 7c : f4 : 12
신뢰할 수있는 용도 : <
  이메일 보호, TLS 웹 서버 인증 <
거부 된 사용 금지. <
별칭 : 대만 GRCA <
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.