如何使用 OpenSSL 變更 CRL 的過期時間?

tag-icon tag-icon ssl-certificate openssl certificate-authority crl
如何使用 OpenSSL 變更 CRL 的過期時間?

我目前正在試驗我的自簽名 CA。

但為了讓我的設備正常運作,我需要一個有效的 CRL。

我將 CDP 設定為 CDN 託管提供者之一。由於我只頒發了 5 個證書,因此撤銷其中一個證書的機會很小,因此我想頒發一個長期有效的 CRL 並根據需要進行更新。

如何使用 OpenSSL 做到這一點以及如何計算預設過期時間?

我看到 crlnumber 檔案增加並且 certutil 顯示類似的內容

Base CRL(1014) time:11

答案1

預設值為 30 天。

若要變更 nextUpdate 字段,您可以使用 openssl ca 指令的 -crldays 選項,如下所示:

openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem

如果您不想每次產生 CRL 時都指定此項,可以在 openssl.cnf 中透過「default_crl_days= 30」(這是預設)進行更改,然後將其變更為您想要的任何內容。

相關內容