Esto y esta respuesta dice que" una vez que un certificado ha caducado, la CA deja de hacer un seguimiento de su estado de revocación ".
Estoy tratando de aprender cómo funciona OpenSSL como CA. Si tengo un certificado caducado revocado en mi index.txt, este certificado no se excluye automáticamente al generar una CRL.
Así que mis preguntas son:
¿Cómo puedo evitar que los certificados caducados aparezcan en la CRL?
- ¿Debo eliminar todos mis certificados caducados por completo?
- Si es así: ¿necesito editar manualmente index.txt para eliminarlo de la base de datos? (No puedo encontrar ningún argumento para openssl ca que elimina certificados de la base de datos)