Die CRL muss innerhalb der Zeitspanne, die in der openssl.cnf unter dem Parameter default_crl_days steht, zyklisch erzeugt und an dem Ort, der unter crlDistributionPoint angegeben ist, veröffentlicht werden.
[bash]
openssl ca -config ./openssl.cnf -name Root_CA -gencrl -out ../rootCA/crls/CRL.pem
[/bash]
openssl.cnf
[sourcecode language=“ps“]
[Root_CA]
default_crl_days = 356
[RCA_cert]
crlDistributionPoints = URI:http://crl.zerfallskonstante.de/crl/RCA.crl
[/sourcecode]
[bash]
openssl pkcs12 -export -out SCA.pfx -inkey SCAkey.pem -in SCAcert.pem -certfile RCAcert.pem
[/bash]