Ich experimentiere derzeit mit meiner selbstsignierten CA.
Damit meine Geräte funktionieren, benötige ich jedoch eine gültige CRL.
Ich habe das CDP auf einen der CDN-Hosting-Anbieter eingestellt. Da ich nur 5 Zertifikate ausgestellt habe, ist die Wahrscheinlichkeit gering, dass eines davon widerrufen wird. Daher möchte ich eine CRL mit langer Gültigkeit ausstellen und sie bei Bedarf aktualisieren.
Wie kann ich das mit OpenSSL machen und wie wird das Standardablaufdatum berechnet?
Ich sehe, dass die Datei crlnumber zunimmt und certutil etwas wie
Base CRL(1014) time:11
Antwort1
Der Standardwert beträgt 30 Tage.
Um das Feld „nextUpdate“ zu ändern, können Sie die Option „-crldays“ des Befehls „openssl ca“ wie folgt verwenden:
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
Wenn Sie dies nicht bei jeder CRL-Generierung angeben möchten, können Sie dies in openssl.cnf über „default_crl_days=30“ ändern (dies ist die Standardeinstellung) und dann nach Belieben ändern.