centos7中的/etc/ssl/certs/ca-bundle.crt和/etc/ssl/certs/ca-bundle.trust.crt有什麼區別？

Question

我正在使用由CA文件簽名的證書來保護kubernetes API。爲此，我將ca.crt的CA文件添加到/etc/pki/ca-trust/source/anchors/，並使用命令$ update-ca-trust將其添加到可信列表中。我在/etc/ssl/certs/ca-bundle.crt文件中找到了我的證書，並在/etc/ssl/certs/ca-bundle.trust.crt文件中找到了一些附加的20個（不完全）字符的字符串。爲什麼有這兩個文件，它們之間有什麼區別？

Answer 1

@YogeshJilhawar：由私人機構簽名的TLS CA文件必須添加到操作系統上的CA捆綁文件（如centos7.x）中，但有一點不同（與ca-bundle.crt有所不同-bundle.trust.crt），如下所示：

ca-bundle.crt包含可信的TLS服務器身份驗證使用情況的CA證書列表，不含不信任信息。

ca-bundle.trust.crt包含CA證書列表，其中包含特定於證書使用情況的信任（和/或不信任）標誌。

這兩個文件都包含擴展BEGIN/END TRUSTED CERTIFICATE文件格式的CA證書。

更重要的是，ca-trust-source包含低優先級的源配置，但ca-trust/source包含高優先級的源配置。好運！