我使用CA文件签名的证书来保护kubernetes API。为此我添加了我的CA文件,将ca.crt添加到/etc/pki/ca-trust/source/anchors/,并使用命令$ update-ca-trust将其添加到可信列表中。我在/etc/ssl/certs/ca-bundle.crt文件和/etc/ssl/certs/ca-bundle.trust.crt文件中找到了我的证书,其中包含一些附加的20个字符串(不完全是)。为什么有这两个文件,它们之间有什么区别?
答案 0 :(得分:0)
@YogeshJilhawar:由私人机构签署的Tls ca文件必须添加到OS上的ca-bundle文件中(例如centos7.x),但有一点不同(bwtween ca-bundle.crt与ca- bundle.trust.crt)如下:
ca-bundle.crt包含受信任的TLS服务器身份验证使用的CA证书列表,没有不信任信息。
ca-bundle.trust.crt包含CA证书列表,其中包括特定于证书使用的信任(和/或不信任)标志。
这两个文件都包含扩展的BEGIN / END TRUSTED CERTIFICATE文件格式的CA证书。
更重要的是,ca-trust-source包含低优先级源配置,但ca-trust / source包含高优先级源配置。祝你好运!