В CentOS 6.5 в /etc/pki/tls/certs У меня есть:
ca-bundle.crt
и
ca-bundle.trust.crt
С разными размерами файлов. Что я должен использовать в качестве пути доверия для nginx proxy_ssl_trusted_certificate.
ca-bundle.trust.crt имеет сертификаты с «расширенной проверкой».
Разница между «обычными» сертификатами и сертификатами с EV заключается в том, что для сертификатов EV требуется что-то вроде личной или корпоративной проверки, то есть подтверждения личности человека по его / ее паспорту.
Это означает, что если вы хотите получить сертификат EV, вам нужно будет идентифицировать себя перед эмитентом сертификата, то есть по вашему паспорту. Если вы «являетесь» компанией, то должна произойти аналогичная процедура (точно не знаю). Это наиболее важно для онлайн-банкинга: вы должны быть уверены, что не только сервер вы подключаетесь к сертифицированному, но также банка сертифицирован.
Из-за этого сертификаты EV более «сложные» и содержат дополнительные поля для «идентификации» не только сервера, но и компании.
Чтобы вернуться к вашему ответу:
Это зависит от вашего использования. Большинству людей следует использовать ca-bundle.crt. Если вы «являетесь» банком или интернет-магазином, которому требуется очень высокий уровень сертификации и «доверия», тогда вам следует использовать ca-bundle.trust.crt.
После "взрыва" пакетов с помощью маленький скрипт Perl, затем бег diff --side-by-side на сертификате правительства Тайваня (в качестве примера взят только потому, что это единственный сертификат в комплекте без CN атрибут в Issuer и Subject строк) (использует SHA1, но это нормально) видим разницу:
ca-bundle.trust.crt налевоca-bundle.crt справа-----BEGIN TRUSTED CERTIFICATE----- | -----BEGIN CERTIFICATE-----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA
...
LMDDav7v3Aun+kbfYNucpllQdSNpc5Oy+fwC00fmcc4QAu4njIT/rEUNE1yDM LMDDav7v3Aun+kbfYNucpllQdSNpc5Oy+fwC00fmcc4QAu4njIT/rEUNE1yDM
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ== | pYYsfPQS
-----END TRUSTED CERTIFICATE----- | -----END CERTIFICATE-----
Certificate: Certificate:
Data: Data:
Version: 3 (0x2) Version: 3 (0x2)
Serial Number: Serial Number:
1f:9d:59:5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6 1f:9d:59:5a:d7:2f:c2:06:44:a5:80:08:69:e3:5e:f6
Signature Algorithm: sha1WithRSAEncryption Signature Algorithm: sha1WithRSAEncryption
Issuer: C = TW, O = Government Root Certification Aut Issuer: C = TW, O = Government Root Certification Aut
Validity Validity
Not Before: Dec 5 13:23:33 2002 GMT Not Before: Dec 5 13:23:33 2002 GMT
Not After : Dec 5 13:23:33 2032 GMT Not After : Dec 5 13:23:33 2032 GMT
Subject: C = TW, O = Government Root Certification Au Subject: C = TW, O = Government Root Certification Au
Subject Public Key Info: Subject Public Key Info:
Public Key Algorithm: rsaEncryption Public Key Algorithm: rsaEncryption
RSA Public-Key: (4096 bit) RSA Public-Key: (4096 bit)
Modulus: Modulus:
00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59 00:9a:25:b8:ec:cc:a2:75:a8:7b:f7:ce:5b:59
... ...
95:7a:98:c1:91:3c:95:23:b2:0e:f4:79:b4:c9 95:7a:98:c1:91:3c:95:23:b2:0e:f4:79:b4:c9
c1:4a:21 c1:4a:21
Exponent: 65537 (0x10001) Exponent: 65537 (0x10001)
X509v3 extensions: X509v3 extensions:
X509v3 Subject Key Identifier: X509v3 Subject Key Identifier:
CC:CC:EF:CC:29:60:A4:3B:B1:92:B6:3C:FA:32:62: CC:CC:EF:CC:29:60:A4:3B:B1:92:B6:3C:FA:32:62:
X509v3 Basic Constraints: X509v3 Basic Constraints:
CA:TRUE CA:TRUE
setCext-hashedRoot: setCext-hashedRoot:
0/0-...0...+......0...g*........"...(6....2.1 0/0-...0...+......0...g*........"...(6....2.1
Signature Algorithm: sha1WithRSAEncryption Signature Algorithm: sha1WithRSAEncryption
40:80:4a:fa:26:c9:ce:5e:30:dd:4f:86:74:76:58:f5:ae:b 40:80:4a:fa:26:c9:ce:5e:30:dd:4f:86:74:76:58:f5:ae:b
... ...
e0:25:a5:86:2c:7c:f4:12 e0:25:a5:86:2c:7c:f4:12
Trusted Uses: <
E-mail Protection, TLS Web Server Authentication <
No Rejected Uses. <
Alias: Taiwan GRCA <