如何使用 OpenSSL 更改 CRL 的過期時間？

我目前正在嘗試使用我的自簽名 CA。

但為了讓我的設備正常工作，我需要一個有效的 CRL。

我將 CDP 設置為 CDN 託管提供商之一。由於我只頒發了 5 個證書，我幾乎沒有機會撤銷其中一個，所以我想頒發一個長期有效的 CRL 並根據需要對其進行更新。

如何使用 OpenSSL 做到這一點，以及如何計算預設到期時間？

我看到 crlnumber 文件增加並且 certutil 顯示類似

Base CRL(1014) time:11

預設值為 30 天。

要更改 nextUpdate 欄位，您可以使用 openssl ca 命令的 -crldays 選項，如下所示：

openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem

如果您不想在每次生成 CRL 時都指定此項，您可以在 openssl.cnf 中通過“default_crl_days=30”（這是預設設置）更改此設置，然後將其更改為您想要的任何內容。

引用自：https://serverfault.com/questions/672245