現在、自己署名 CA を試しています。
しかし、デバイスが機能するためには有効な CRL が必要です。
CDP を CDN ホスティング プロバイダーの 1 つに設定しました。発行された証明書は 5 つしかないため、そのうちの 1 つが取り消される可能性はほとんどありません。そのため、有効期間の長い CRL を発行し、必要に応じて更新したいと思います。
OpenSSL でこれを実行するにはどうすればよいですか? また、デフォルトの有効期限はどのように計算されますか?
crlnumberファイルが増加し、certutilが次のように表示しているのがわかります。
Base CRL(1014) time:11
答え1
デフォルトは 30 日です。
nextUpdate フィールドを変更するには、次のように openssl ca コマンドの -crldays オプションを使用します。
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
CRL が生成されるたびにこれを指定したくない場合は、openssl.cnf で「default_crl_days= 30」(これがデフォルト設定です) を変更し、その後、任意の値に変更できます。