В настоящее время я экспериментирую с самоподписанным CA.
Но для того, чтобы мои устройства работали, мне нужен действительный CRL.
Я установил CDP на одного из провайдеров хостинга CDN. Поскольку у меня выпущено всего 5 сертификатов, у меня мало шансов, что один из них будет отозван, поэтому я хотел бы выпустить CRL с длительным сроком действия и обновлять его по мере необходимости.
Как это сделать с помощью OpenSSL и как рассчитывается срок действия по умолчанию?
Я вижу, что файл crlnumber увеличивается и certutil выводит что-то вроде
Base CRL(1014) time:11
решение1
Значение по умолчанию — 30 дней.
Чтобы изменить поле nextUpdate, вы можете использовать опцию -crldays команды openssl ca следующим образом:
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
Если вы не хотите указывать это каждый раз при генерации CRL, вы можете изменить это в openssl.cnf с помощью «default_crl_days= 30» (это настройка по умолчанию), а затем изменить ее на любую другую.