Как я могу изменить срок действия CRL с OpenSSL?

Question

Как я могу изменить срок действия CRL с OpenSSL?

В настоящее время я экспериментирую с моей собственной подписью CA.

Но чтобы мои устройства работали, мне нужен действующий CRL.

Я назначил CDP одному из хостинг-провайдеров CDN. Поскольку у меня только 5 выданных сертификатов, у меня мало шансов отозвать один из них, поэтому я хотел бы выпустить длинный CRL и обновить его по мере необходимости.

Как я могу сделать это с OpenSSL и как рассчитывается срок действия по умолчанию?

Я вижу, что файл crlnumber увеличивается, а certutil отображает что-то вроде

Base CRL(1014) time:11

4

ssl-certificate openssl certificate-authority crl

Источник

manatails 01 мар '15 в 12:51

1 ответ

Решение

Другие вопросы по тегам ssl-certificate openssl certificate-authority crl

Bruno Mairlot 14 мар '18 в 13:25 2018-03-14 13:25 · Accepted Answer · 2018-03-14 13:25

По умолчанию 30 дней.

Чтобы изменить поле nextUpdate, вы можете использовать опцию -crldays команды openssl ca следующим образом:

openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem

Если вы не хотите указывать это каждый раз, когда генерируется CRL, вы можете изменить это в openssl.cnf через "default_crl_days= 30" (это настройка по умолчанию), а затем изменить его на любое другое.