Автор Тема: Срок годности SSL ключей, созданных в альтераторе  (Прочитано 903 раз)

Оффлайн karp

  • Давно тут
  • **
  • Сообщений: 65
Создаю SSL ключ в альтераторе для OVPN. После подписания выясняется, что его срок годности 2 года. При этом в /etc/openssl/openssl.cnf написано:
default_days   = 3650
Судя по предыдущим ключам, когда-то это выполнялось, т.к. есть ключи со сроком годности до 2029 г.
Откуда альтератор берёт срок годности?

p9

Оффлайн karp

  • Давно тут
  • **
  • Сообщений: 65
Забавно. Решил сделать руками:
openssl req -new -x509 -days 3650 -nodes -out $1.pem -keyout $1.pem && chmod o= $1.pem
Всё равно получил на 2 года.
М.б. есть какие-то глобальные ограничения на срок годности?

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 031
  • ITS
https://forum.altlinux.org/index.php?topic=8557.msg355809#msg355809

# cat ./pki/vars    # https://github.com/OpenVPN/easy-rsa/blob/master/easyrsa3/vars.example
    ...
    set_var EASYRSA_KEY_SIZE   1024
    set_var EASYRSA_CERT_EXPIRE   3650
    ...

Оффлайн karp

  • Давно тут
  • **
  • Сообщений: 65
А ключ реально создаётся на 10 лет?

Инструкция очень полезная. Спасибо! При следующем подходе попробую пройти по ней.

Но мне теперь интересно, откуда Альтератор берёт default_days. Причём он делает не дефолтные 365 дней, а в 2 раза больше, т.е. логично предположить, что где-то у него это прописано.