EasyRSA 将默认 CRL 过期时间设置为 180 天, 和这是另一个 SE 答案说默认是30天。
在 OpenVPN 中,CRL 只是一个名为“crl.pem”的静态文件,并且该文件永远不会传递给最终用户;相反,它存储已撤销的客户端证书。既然它都是服务器端管理的,而不是由客户端下载的,那么拥有很长的生命周期应该是安全的吗?
CRL 生命周期如此短的目的是什么?
我认为您会希望这是“永远”或至少很长一段时间,因为当 CRL 过期时,它会破坏使用 CRL 的应用程序(在我们的例子中是 OpenVPN)。