我目前正在试验我的自签名CA。
但为了使我的设备正常工作,我需要一个有效的 CRL。
我将 CDP 设置为 CDN 托管提供商之一。由于我只颁发了 5 个证书,因此其中一个证书被撤销的可能性很小,因此我想颁发一个有效期较长的 CRL 并在需要时进行更新。
我如何使用 OpenSSL 来实现这一点以及如何计算默认到期时间?
我看到 crlnumber 文件增加了,并且 certutil 显示类似
Base CRL(1014) time:11
答案1
默认值为 30 天。
要更改 nextUpdate 字段,您可以使用 openssl ca 命令的 -crldays 选项,如下所示:
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
如果您不想每次生成 CRL 时都指定此项,您可以通过“default_crl_days= 30”(这是默认设置)在 openssl.cnf 中更改此项,然后将其更改为您想要的任何内容。