현재 자체 서명된 CA를 실험하고 있습니다.
하지만 내 장치가 작동하려면 유효한 CRL이 필요합니다.
CDP를 CDN 호스팅 공급자 중 하나로 설정했습니다. 발급된 인증서가 5개뿐이므로 그 중 하나가 취소될 가능성이 거의 없으므로 긴 유효성 CRL을 발급하고 필요할 때 업데이트하고 싶습니다.
OpenSSL로 어떻게 이를 수행할 수 있으며 기본 만료는 어떻게 계산됩니까?
crlnumber 파일이 증가하고 certutil에 다음과 같은 내용이 표시되는 것을 확인했습니다.
Base CRL(1014) time:11
답변1
기본값은 30일입니다.
nextUpdate 필드를 변경하려면 다음과 같이 openssl ca 명령의 -crldays 옵션을 사용할 수 있습니다.
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
CRL이 생성될 때마다 이를 지정하지 않으려면 openssl.cnf에서 "default_crl_days= 30"(기본 설정)을 통해 이를 변경한 다음 원하는 대로 변경할 수 있습니다.