Actualmente estoy experimentando con mi CA autofirmada.
Pero para que mis dispositivos funcionen necesito una CRL válida.
Configuré el CDP en uno de los proveedores de alojamiento de CDN. Como solo tengo 5 certificados emitidos, tengo pocas posibilidades de que uno de ellos sea revocado, por lo que me gustaría emitir una CRL de larga validez y actualizarla cuando la necesite.
¿Cómo puedo hacer eso con OpenSSL y cómo se calcula la caducidad predeterminada?
Veo que el archivo crlnumber aumenta y certutil muestra algo como
Base CRL(1014) time:11
Respuesta1
El valor predeterminado es 30 días.
Para cambiar el campo nextUpdate, puede usar la opción -crldays del comando openssl ca de esta manera:
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
Si no desea especificar esto cada vez que se genera la CRL, puede cambiarlo en openssl.cnf mediante "default_crl_days= 30" (esta es la configuración predeterminada) y luego cambiarlo a lo que desee.