ca-bundle.crtとca-bundle.trust.crtの違い

CentOS 6.5では、/etc/pki/tls/certs次のものがあります。

ca-bundle.crt

そして

ca-bundle.trust.crt

異なるファイルサイズで。これをnginx の信頼パスとして使用する必要がありますproxy_ssl_trusted_certificate。

ca-bundle.trust.crtは、「拡張検証」で証明書を保持します。

「通常の」証明書とEVを使用した証明書の違いは、EV証明書にはパスポートで個人のIDを検証することによる個人または会社の検証などが必要なことです。

これは、ev証明書を取得したい場合、パスポートによって証明書発行者に対して身元を証明する必要があることを意味します。あなたが会社である場合、同等の手順（正確にはわかりません）が発生する必要があります。これは、オンラインバンキングに最も重要です。接続するサーバーだけでなく、銀行も認証されていることを確認する必要があります。

そのため、ev証明書はより「複雑」で、サーバーだけでなく会社も「識別する」ための追加フィールドが含まれています。

答えに戻るには：使い方によって異なります。ほとんどの人はca-bundle.crtを使用する必要があります。非常に高いレベルの認証と「信頼」を必要とする銀行またはオンラインショップである場合は、ca-bundle.trust.crtを使用する必要があります。

小さなPerlスクリプトを使用してバンドルを「展開」した後diff --side-by-side、台湾政府の証明書で実行されます（例として、バンドルCN内の属性が行IssuerとSubject行にない唯一の証明書であるためだけに取得）（SHA1を使用しますが、それは大丈夫）違いがわかります：

• ca-bundle.trust.crt左からの証明書
• ca-bundle.crt右側からの証明書

-----認定証明書の開始----- | -----証明書の開始-----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
-----信頼できる証明書の終了----- | -----証明書の終了-----
証明書：証明書：
    データ：データ：
        バージョン：3（0x2）バージョン：3（0x2）
        シリアル番号：シリアル番号：
            1f：9d：59：5a：d7：2f：c2：06：44：a5：80：08：69：e3：5e：f6 1f：9d：59：5a：d7：2f：c2：06：44：a5 ：80：08：69：e3：5e：f6
        署名アルゴリズム：sha1WithRSAEncryption署名アルゴリズム：sha1WithRSAEncryption
        発行者：C = TW、O = Government Root Certification Aut発行者：C = TW、O = Government Root Certification Aut
        有効性有効性
            前：12月5日13:23:33 2002 GMT前：12月5日13:23:33 2002 GMT
            後：12月5日13:23:33 2032 GMT後：12月5日13:23:33 2032 GMT
        Subject：C = TW、O = Government Root Certification Au Subject：C = TW、O = Government Root Certification Au
        サブジェクト公開鍵情報：サブジェクト公開鍵情報：
            公開鍵アルゴリズム：rsaEncryption公開鍵アルゴリズム：rsaEncryption
                RSA公開鍵：（4096ビット）RSA公開鍵：（4096ビット）
                モジュラス：モジュラス：
                    00：9a：25：b8：ec：cc：a2：75：a8：7b：f7：ce：5b：59 00：9a：25：b8：ec：cc：a2：75：a8：7b：f7：ce ：5b：59
                    ... ...
                    95：7a：98：c1：91：3c：95：23：b2：0e：f4：79：b4：c9 95：7a：98：c1：91：3c：95：23：b2：0e：f4：79 ：b4：c9
                    c1：4a：21 c1：4a：21
                指数：65537（0x10001）指数：65537（0x10001）
        X509v3拡張機能：X509v3拡張機能：
            X509v3サブジェクトキー識別子：X509v3サブジェクトキー識別子：
                CC：CC：EF：CC：29：60：A4：3B：B1：92：B6：3C：FA：32：62：CC：CC：EF：CC：29：60：A4：3B：B1：92： B6：3C：FA：32：62：
            X509v3基本制約：X509v3基本制約：
                CA：TRUE CA：TRUE
            setCext-hashedRoot：setCext-hashedRoot：
                0/0 -... 0 ... + ...... 0 ... g * ........ "...（6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........ "...（6 .... 2.1
    署名アルゴリズム：sha1WithRSAEncryption署名アルゴリズム：sha1WithRSAEncryption
         40：80：4a：fa：26：c9：ce：5e：30：dd：4f：86：74：76：58：f5：ae：b 40：80：4a：fa：26：c9：ce：5e ：30：dd：4f：86：74：76：58：f5：ae：b
         ... ...
         e0：25：a5：86：2c：7c：f4：12 e0：25：a5：86：2c：7c：f4：12
信頼できる使用：<
  電子メール保護、TLS Webサーバー認証<
拒否された使用はありません。<
エイリアス：台湾GRCA <