ca-bundle.crt和ca-bundle.trust.crt之间的区别

在CentOS 6.5中，/etc/pki/tls/certs我具有：

ca-bundle.crt

和

ca-bundle.trust.crt

具有不同的文件大小。我应该使用哪一个作为nginx 的信任路径proxy_ssl_trusted_certificate。

ca-bundle.trust.crt持有带有“扩展验证”的证书。

“普通”证书与带有EV的证书之间的区别在于，您的EV证书需要个人或公司身份验证之类的内容，即通过其护照来验证某人的身份。

这意味着，如果您想获得ev证书，则必须通过您的护照向证书发行者标识自己。如果您“是”一家公司，则必须执行等效程序（不完全了解）。这对于在线银行至关重要：必须确保不仅连接的服务器经过认证，而且银行也经过认证。

因此，EV证书更加“复杂”，并且包含其他字段，不仅可以“标识”服务器，还可以“标识”公司。

回到您的答案：这取决于您的使用情况。大多数人应该使用ca-bundle.crt。如果您“是”需要非常高级别的认证和“信任”的银行或在线商店，则应使用ca-bundle.trust.crt。

使用少量Perl脚本 “分解”分发包之后，然后diff --side-by-side在台湾政府证书上运行（例如，仅因为它是捆绑包中唯一的证书，并且CN在Issuer和Subject行中没有属性）（使用SHA1，但这是好的），我们看到了区别：

• ca-bundle.trust.crt左侧的证书
• ca-bundle.crt右边的证书

----- BEGIN可信证书----- | ----- BEGIN证书-----
MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA MIIFcjCCA1qgAwIBAgIQH51ZWtcvwgZEpYAIaeNe9jANBgkqhkiG9w0BAQUFA
...
LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM LMDDav7v3Aun + kbfYNucpllQdSNpc5Oy + fwC00fmcc4QAu4njIT / rEUNE1yDM
pYYsfPQSMCMwFAYIKwYBBQUHAwQGCCsGAQUFBwMBDAtUYWl3YW4gR1JDQQ == | pYYsfPQS
-----结束受信任的证书----- | -----结束证书-----
证书：证书：
    数据：数据：
        版本：3（0x2）版本：3（0x2）
        序列号：序列号：
            1f：9d：59：5a：d7：2f：c2：06：44：a5：80：08：69：e3：5e：f6 1f：9d：59：5a：d7：2f：c2：06：44：a5 ：80：08：69：e3：5e：f6
        签名算法：sha1WithRSAEncryption签名算法：sha1WithRSAEncryption
        发行人：C = TW，O =政府根证书认证发行人：
        有效性有效性
            不早于：2002 GMT 12月5日13:23:33不早于：2002 GMT 12月5日13:23:33
            Not After：Dec 5 13:23:33 2032 GMT Not After：Dec 5 13:23:33 2032 GMT
        主题：C = TW，O =政府根证书Au
        主题公开密钥信息：主题公开密钥信息：
            公钥算法：rsaEncryption公钥算法：rsaEncryption
                RSA公钥：（4096位）RSA公钥：（4096位）
                模量：模量：
                    00：9a：25：b8：ec：cc：a2：75：a8：7b：f7：ce：5b：59 00：9a：25：b8：ec：cc：a2：75：a8：7b：f7：ce ：5b：59
                    ……
                    95：7a：98：c1：91：3c：95：23：b2：0e：f4：79：b4：c9 95：7a：98：c1：91：3c：95：23：b2：0e：f4：79 ：b4：c9
                    c1：4a：21 c1：4a：21
                指数：65537（0x10001）指数：65537（0x10001）
        X509v3扩展：X509v3扩展：
            X509v3主题密钥标识符：X509v3主题密钥标识符：
                CC：CC：EF：CC：29：60：A4：3B：B1：92：B6：3C：FA：32：62：CC：CC：EF：CC：29：60：A4：3B：B1：92： B6：3C：FA：32：62：
            X509v3基本约束：X509v3基本约束：
                CA：TRUE CA：TRUE
            setCext-hashedRoot：setCext-hashedRoot：
                0/0 -... 0 ... + ... 0 ... g * ........“ ...（6 .... 2.1 0/0 -... 0 ... + ...... 0 ... g * ........“ ...（6 .... 2.1
    签名算法：sha1WithRSAEncryption签名算法：sha1WithRSAEncryption
         40：80：4a：fa：26：c9：ce：5e：30：dd：4f：86：74：76：58：f5：ae：b 40：80：4a：fa：26：c9：ce：5e ：30：dd：4f：86：74：76：58：f5：ae：b
         ……
         e0：25：a5：86：2c：7c：f4：12 e0：25：a5：86：2c：7c：f4：12
受信任的用途：<
  电子邮件保护，TLS Web服务器身份验证<
没有拒绝的用途。<
别名：台湾GRCA <