Diferencia entre ca-bundle.crt y ca-bundle.trust.crt

18

En CentOS 6.5, /etc/pki/tls/certstengo:

ca-bundle.crt

y

ca-bundle.trust.crt

Con diferentes tamaños de archivo. ¿Qué debo usar como ruta de confianza para nginx proxy_ssl_trusted_certificate .

nginx openssl certificate-authority Justin
fuente
el mismo esquema de archivo también se usa bajo RHEL 7
maxschlepzig

Respuestas:

12

ca-bundle.trust.crt posee certs con "validación extendida".

La diferencia entre los certificados "normales" y los certificados con EV es que sus certificados EV necesitan algo así como una validación personal o de la empresa, es decir, validar la identidad de una persona con su pasaporte.

Esto significa que si desea obtener un certificado de ev, deberá identificarse con el emisor del certificado, es decir, con su pasaporte. Si "es" una empresa, entonces debe ocurrir un procedimiento equivalente (no lo sé exactamente). Esto es lo más esencial para la banca en línea: debe asegurarse de que no solo el servidor al que se conecta esté certificado, sino también el banco .

Debido a eso, los certificados de ev son más "complicados" y contienen campos adicionales para "identificar" no solo al servidor sino también a la empresa.

Para volver a su respuesta: depende de su uso. La mayoría de las personas deberían usar ca-bundle.crt. Si "es" un banco o una tienda en línea que necesita un nivel muy alto de certificación y "confianza", entonces debe usar ca-bundle.trust.crt.

Reichhart
fuente
1

Después de "explotar" los paquetes con un pequeño script de Perl , luego se ejecuta diff --side-by-sideen el certificado del Gobierno de Taiwán (como ejemplo, tomado solo porque es el único certificado en el paquete sin CNatributo en las líneas Issuery Subject) (usa SHA1 pero eso es ok ) vemos la diferencia:

  • Certificado de ca-bundle.trust.crtla izquierda
  • Certificado de ca-bundle.crtla derecha
----- COMIENCE EL CERTIFICADO DE CONFIANZA ----- | ----- COMIENCE EL CERTIFICADO -----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQU
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4nj1 / rEU4njIT / rEC
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
----- FINALIZAR EL CERTIFICADO DE CONFIANZA ----- | ----- FINALIZAR CERTIFICADO -----
Certificado: Certificado:
    Datos: Datos:
        Versión: 3 (0x2) Versión: 3 (0x2)
        Número de serie: Número de serie:
            1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5: 80: 08: 69: e3: 5e: f6 1f: 9d: 59: 5a: d7: 2f: c2: 06: 44: a5 : 80: 08: 69: e3: 5e: f6
        Algoritmo de firma: sha1WithRSAEncryption Algoritmo de firma: sha1WithRSAEncryption
        Emisor: C = TW, O = Certificación raíz del gobierno Aut Emisor: C = TW, O = Certificación raíz del gobierno Aut
        Validez Validez
            No antes: 5 de diciembre 13:23:33 2002 GMT No antes: 5 de diciembre 13:23:33 2002 GMT
            No después: 5 de diciembre 13:23:33 2032 GMT No después: 5 de diciembre 13:23:33 2032 GMT
        Asunto: C = TW, O = Aumento de certificación raíz del gobierno Asunto: C = TW, O = Au Au certificación de gobierno
        Información de la clave pública del sujeto: Información de la clave pública del sujeto:
            Algoritmo de clave pública: rsaEncryption Algoritmo de clave pública: rsaEncryption
                Clave pública RSA: (4096 bit) Clave pública RSA: (4096 bit)
                Módulo: Módulo:
                    00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce: 5b: 59 00: 9a: 25: b8: ec: cc: a2: 75: a8: 7b: f7: ce : 5b: 59
                    ... ...
                    95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79: b4: c9 95: 7a: 98: c1: 91: 3c: 95: 23: b2: 0e: f4: 79 : b4: c9
                    c1: 4a: 21 c1: 4a: 21
                Exponente: 65537 (0x10001) Exponente: 65537 (0x10001)
        Extensiones X509v3: extensiones X509v3:
            Identificador de clave de sujeto X509v3: Identificador de clave de sujeto X509v3:
                CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62: CC: CC: EF: CC: 29: 60: A4: 3B: B1: 92: B6: 3C: FA: 32: 62:
            Restricciones básicas X509v3: Restricciones básicas X509v3:
                CA: VERDADERO CA: VERDADERO
            setCext-hashedRoot: setCext-hashedRoot:
                0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "... (6 .... 2.1
    Algoritmo de firma: sha1WithRSAEncryption Algoritmo de firma: sha1WithRSAEncryption
         40: 80: 4a: fa: 26: c9: ce: 5e: 30: dd: 4f: 86: 74: 76: 58: f5: ae: b 40: 80: 4a: fa: 26: c9: ce: 5e : 30: dd: 4f: 86: 74: 76: 58: f5: ae: b
         ... ...
         e0: 25: a5: 86: 2c: 7c: f4: 12 e0: 25: a5: 86: 2c: 7c: f4: 12
Usos de confianza: <
  Protección de correo electrónico, autenticación de servidor web TLS <
Sin usos rechazados. <
Alias: Taiwan GRCA <
David Tonhofer
fuente