centos7中的/etc/ssl/certs/ca-bundle.crt和/etc/ssl/certs/ca-bundle.trust.crt有什么区别？

Question

我正在使用由CA文件签名的证书来保护kubernetes API。为此，我将ca.crt的CA文件添加到/etc/pki/ca-trust/source/anchors/，并使用命令$ update-ca-trust将其添加到可信列表中。我在/etc/ssl/certs/ca-bundle.crt文件中找到了我的证书，并在/etc/ssl/certs/ca-bundle.trust.crt文件中找到了一些附加的20个（不完全）字符的字符串。为什么有这两个文件，它们之间有什么区别？

Answer 1

@YogeshJilhawar：由私人机构签名的TLS CA文件必须添加到操作系统上的CA捆绑文件（如centos7.x）中，但有一点不同（与ca-bundle.crt有所不同-bundle.trust.crt），如下所示：

ca-bundle.crt包含可信的TLS服务器身份验证使用情况的CA证书列表，不含不信任信息。

ca-bundle.trust.crt包含CA证书列表，其中包含特定于证书使用情况的信任（和/或不信任）标志。

这两个文件都包含扩展BEGIN/END TRUSTED CERTIFICATE文件格式的CA证书。

更重要的是，ca-trust-source包含低优先级的源配置，但ca-trust/source包含高优先级的源配置。好运！