Ssl-Certificate
如何使用 OpenSSL 更改 CRL 的過期時間?
我目前正在嘗試使用我的自簽名 CA。
但為了讓我的設備正常工作,我需要一個有效的 CRL。
我將 CDP 設置為 CDN 託管提供商之一。由於我只頒發了 5 個證書,我幾乎沒有機會撤銷其中一個,所以我想頒發一個長期有效的 CRL 並根據需要對其進行更新。
如何使用 OpenSSL 做到這一點,以及如何計算預設到期時間?
我看到 crlnumber 文件增加並且 certutil 顯示類似
Base CRL(1014) time:11
預設值為 30 天。
要更改 nextUpdate 欄位,您可以使用 openssl ca 命令的 -crldays 選項,如下所示:
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
如果您不想在每次生成 CRL 時都指定此項,您可以在 openssl.cnf 中通過“default_crl_days=30”(這是預設設置)更改此設置,然後將其更改為您想要的任何內容。