如何使用 OpenSSL 更改 CRL 的过期时间？

Question

我目前正在试验我的自签名 CA。

但为了让我的设备正常工作，我需要有效的 CRL。

我将 CDP 设置为 CDN 托管提供商之一。由于我只颁发了 5 个证书，因此撤销其中一个证书的机会很小，因此我想颁发一个长期有效的 CRL 并根据需要进行更新。

如何使用 OpenSSL 做到这一点以及如何计算默认过期时间？

我看到 crlnumber 文件增加并且 certutil 显示类似的内容

Base CRL(1014) time:11

Answer 1

默认值为 30 天。

要更改 nextUpdate 字段，您可以使用 openssl ca 命令的 -crldays 选项，如下所示：

openssl ca -gencrl -crldays 120 -config /path/to/openssl.conf -keyfile /path/to/private/key.file -passin pass:plaintextpassword -out /path/to/crl.pem

如果您不想每次生成 CRL 时都指定此项，可以在 openssl.cnf 中通过“default_crl_days= 30”（这是默认设置）进行更改，然后将其更改为您想要的任何内容。