> укажи в команде openssl req опцию -days 3650, то есть:
> openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out
> server1.csr -days 3650
> а то в конфиге как раз и стоит default_crl_days= 30 (то бишь
> месяц) Так... скажу что я сделал и что прлучилось
1. сделал revoke сертификата server1.crt
2. удалил server1.*
3. openssl req -config ./openssl.cnf -new -newkey rsa:2048 -nodes -keyout server1.key -out server1.csr -days 3650
4. openssl ca -config ./openssl.cnf -out server1.crt -days 3650 -infiles server1.csr
и вот 4то я получаю:
openssl verify -CAfile ca.crt mail.hm.is.crt
............................................
error 10 at 1 depth lookup:certificate has expired
OK
то есть без изменении.
межет у меня ca сертификат постарел ?
я его создал так:
openssl req -config ./openssl.cnf -new -x509 -newkey rsa:2048 -keyout ca.key -out ca.crt