CA Bundle (Certificate Authority Bundle) — это файл, содержащий цепочку промежуточных и корневых сертификатов, которые обеспечивают доверие к конечному сертификату, установленному на сервере.

Цель CA Bundle — предоставить браузерам и другим клиентам информацию о цепочке доверия, которая соединяет ваш сертификат с доверенным корневым центром сертификации (CA).

Состав CA Bundle

CA Bundle включает:

1. Промежуточные сертификаты — выданы центром сертификации для обеспечения связи между конечным сертификатом и корневым сертификатом.
2. Корневой сертификат — самоподписанный сертификат, которому доверяют операционные системы и браузеры.

Правила формирования CA Bundle

Сертификаты в CA Bundle должны быть упорядочены от промежуточного к корневому:

• Промежуточный сертификат (Intermediate CA).
• Дополнительные промежуточные сертификаты (если есть).
• Корневой сертификат (Root CA).

Все сертификаты в CA Bundle должны быть в формате PEM (Base64) и содержать заголовки:

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Все сертификаты объединяются в один файл, разделённый только пустыми строками.

Создание CA Bundle

Предположим, у вас есть три файла:

• intermediate.pem — промежуточный сертификат.
• intermediate2.pem — дополнительный промежуточный сертификат.
• root.pem — корневой сертификат.

Сформируем CA Bundle:

cat intermediate.pem intermediate2.pem root.pem > ca_bundle.pem

Полученный файл ca_bundle.pem готов к использованию.

Проверка CA Bundle

Проверка цепочки сертификатов, выполним команду:

openssl verify -CAfile ca_bundle.pem server_certificate.pem

Проверка содержимого CA Bundle. Для проверки порядка сертификатов, выполним команду:

openssl x509 -in ca_bundle.pem -text -noout