В настоящее время я экспериментирую с самоподписанным ЦС.
Но для того, чтобы мои устройства работали, мне нужен действующий CRL.
Я установил CDP на одного из провайдеров хостинга CDN. Поскольку у меня выпущено только 5 сертификатов, у меня мало шансов получить один из них, поэтому я хотел бы выпустить CRL с длительным сроком действия и обновлять его по мере необходимости.
Как я могу сделать это с OpenSSL и как рассчитывается срок действия по умолчанию?
Я вижу, что файл crlnumber увеличивается, и certutil отображает что-то вроде
Base CRL(1014) time:11
По умолчанию 30 дней.
Чтобы изменить поле nextUpdate, вы можете использовать параметр -crldays команды openssl ca следующим образом:
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
Если вы не хотите указывать это каждый раз при создании CRL, вы можете изменить это в openssl.cnf через «default_crl_days = 30» (это значение по умолчанию), а затем изменить его на все, что захотите.