如何使用 OpenSSL 更改 CRL 的过期时间?

如何使用 OpenSSL 更改 CRL 的过期时间?

我目前正在试验我的自签名CA。

但为了使我的设备正常工作,我需要一个有效的 CRL。

我将 CDP 设置为 CDN 托管提供商之一。由于我只颁发了 5 个证书,因此其中一个证书被撤销的可能性很小,因此我想颁发一个有效期较长的 CRL 并在需要时进行更新。

我如何使用 OpenSSL 来实现这一点以及如何计算默认到期时间?

我看到 crlnumber 文件增加了,并且 certutil 显示类似

Base CRL(1014) time:11

答案1

默认值为 30 天。

要更改 nextUpdate 字段,您可以使用 openssl ca 命令的 -crldays 选项,如下所示:

openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem

如果您不想每次生成 CRL 时都指定此项,您可以通过“default_crl_days= 30”(这是默认设置)在 openssl.cnf 中更改此项,然后将其更改为您想要的任何内容。

相关内容