openssl は、有効期限が切れた証明書を生成しません。

openssl は、有効期限が切れた証明書を生成しません。

自己署名ルートCA証明書とキーがあります。

このCAで署名するサーバー証明書を作成しようとしています。

私が取ったステップは次のとおりです。

1) サーバーキーの生成

openssl genrsa -out server.key 2048

2) 365日を指定する署名要求の生成

openssl req -new -key server.key -out server.csr -days 365 -sha256

3)自己署名CAを使用して要求に署名します。

openssl x509 -req -in server.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out server.crt -sha256

新しく生成された証明書を確認すると、次のようになります。

openssl x509 -noout -text -in server.crt

出力で次のことがわかります。

Validity Not Before: May 8 14:19:44 2017 GMT Not After : Jun 7 14:19:44 2017 GMT

私がここで何を間違っているのかよくわかりませんか? 365日を指定しましたが、有効期限が正しい証明書が生成されないのはなぜですか?

答え1

証明書の妥当性は、最後のステップで次のように指定する必要があります。

openssl x509 -req -in server.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out server.crt -sha256 -days 365

そうでない場合、CSRの作成時に365日を要求すると、署名のデフォルト設定はCSRに署名したときに要求された日数を上書きします。

関連情報