-
使用OpenSSL可以方便地生成CRL(吊销列表),以下是具体步骤:
- 使用OpenSSL生成一个新的证书签名请求:
$ openssl req -new -key ca.key -out ca-crl.csr
- 用生成的证书签名请求生成CRL,如果使用的是CA级别的证书,则可以在指定的有效期(例如5年)内持续更新CRL:
$ openssl ca -gencrl -keyfile ca.key -cert ca.crt -out ca-crl.crl -crldays 3650
- 使用生成的CRL可以检查指定的证书是否已被吊销:
$ openssl crl -in ca-crl.crl -noout -text
使用OpenSSL生成CRL(吊销列表)可以更方便地管理证书,并有效防止无效的证书使用。