OpenSSLでCRLの有効期限を変更するにはどうすればよいですか?
私は現在、自己署名CAを実験しています。
ただし、デバイスを機能させるには、有効なCRLが必要です。
CDPをCDNホスティングプロバイダーの1つに設定しました。発行した証明書は5つしかないため、そのうちの1つが取り消される可能性はほとんどありません。そのため、有効期間の長いCRLを発行し、必要に応じて更新したいと思います。
OpenSSLでこれを行うにはどうすればよいですか?また、デフォルトの有効期限はどのように計算されますか?
Crlnumberファイルが増加し、certutilが次のように表示することがわかります。
Base CRL(1014) time:11
デフォルトは30日です。
NextUpdateフィールドを変更するには、opensslcaコマンドの-crldaysオプションを次のように使用できます。
openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem
CRLが生成されるたびにこれを指定したくない場合は、openssl.cnfで「default_crl_days = 30」(これがデフォルト設定です)を介してこれを変更してから、必要なものに変更できます。