Atualmente estou experimentando minha CA autoassinada.
Mas para que meus dispositivos funcionem, preciso de uma CRL válida.
Configurei o CDP para um dos provedores de hospedagem CDN. Como tenho apenas 5 certificados emitidos, tenho poucas chances de revogar um deles, então gostaria de emitir uma CRL de longa validade e atualizá-la conforme necessário.
Como posso fazer isso com OpenSSL e como é calculada a expiração padrão?
Vejo que o arquivo crlnumber aumenta e o certutil exibe algo como
Base CRL(1014) time:11
Responder1
O padrão é 30 dias.
Para alterar o campo nextUpdate, você pode usar a opção -crldays do comando openssl ca assim:
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
Se você não quiser especificar isso toda vez que a CRL for gerada, você pode alterar isso em openssl.cnf via "default_crl_days=30" (esta é a configuração padrão) e depois alterá-la para o que desejar.