Как проверить косвенный CRL?

Я пытаюсь заставить пример работать с косвенным CRL. Но когда я пытаюсь проверить это с помощью команды openssl verify, я либо получаю «невозможно получить CRL сертификата», либо «другую область CRL».

Вопрос в том:

• Правильно ли я использую команду openssl verify?
• Чего-то не хватает в сертификатах или CRL?

Дерево PKI выглядит так:

 Калифорния | -------------------------------- | | | а-т-д б-тд та | | |  client_cert server_cert crl 

Идея заключалась бы в том, что TA выступает в роли эмитента CRL и создает косвенный CRL для отзыва клиентских сертификатов.

Чтобы проверить это, я использую инструмент проверки openssl следующим образом:

openssl verify -crl_check \ -CAfile <(cat ca.pem b-td.pem) \ -untrusted <(cat ta.pem ta.crl) \ -extended_crl client1.pem 

Что приводит к "невозможно получить сертификат CRL".

Когда я добавляю CRL в цепочку CAfile, я получаю «Другой охват CRL».

openssl verify -crl_check \ -CAfile <(cat ca.pem b-td.pem ta.pem ta.crl) \ -extended_crl client1.pem 

Я перечисляю здесь также детали a-td.pem, ta.pem, client.pem и CRL.

# a-td.pem Сертификат: Данные: Версия: 1 (0x0) Серийный номер: 2 (0x2) Алгоритм подписи: sha1WithRSAEncryption Эмитент: C = США, O = Тест, OU = Тестовый центр сертификации, CN = Тестовый корень C-TA Период действия Не раньше: 29 ноября 16:07:40 2017 по Гринвичу Не после: 29 ноября 16:07:40 2027 по Гринвичу Тема: C = США, O = Тест, CN = Тест Информация об открытом ключе субъекта: Алгоритм открытого ключа: rsaEncryption Открытый ключ: (2048 бит) Модуль: ... Экспонент: 65537 (0x10001) Расширения X509v3: Использование ключа X509v3: критическое Знак сертификата, Знак CRL X509v3 Основные ограничения: критические CA: TRUE, pathlen: 0 X509v3 Идентификатор ключа субъекта:  92: D9: С4: 68: БФ: ЕА: Д7: 41: 64: C1: 92: А3: 00: A0: 09: 06: 5F: В4: 61: 07 

# ta.pem Сертификат: Данные: Версия: 1 (0x0) Серийный номер: 4 (0x4) Алгоритм подписи: sha1WithRSAEncryption Эмитент: C = США, O = Тест, OU = Тестовый центр сертификации, CN = Тестовый корень C-TA Период действия Не раньше: 29 ноября 16:45:03 2017 GMT Не после: 29 ноября 16:45:03 2027 по Гринвичу Тема: C = США, O = Тест, CN = Тест Информация об открытом ключе субъекта: Алгоритм открытого ключа: rsaEncryption Открытый ключ: (2048 бит) Modulus: ... Экспонент: 65537 (0x10001) Расширения X509v3: Использование ключа X509v3: критическое CRL Sign X509v3 Основные ограничения: критические CA: TRUE, pathlen: 0 X509v3 Идентификатор ключа субъекта:  F1: FC: 12: 14: 1E: 93: D0: FA: 9E: A6: 01: D9: 1D: 33: BE: 70: BD: 79: 80: ФК X509v3 Тема Альтернативное имя:  URI: HTTP: //localhost/crl/ta.crl Точки распространения CRL X509v3:   ФИО: URI: HTTP: //localhost/crl/ta.crl  

# client.pem Сертификат: Данные: Версия: 1 (0x0) Серийный номер: 1 (0x1) Алгоритм подписи: sha1WithRSAEncryption Эмитент: C = США, O = Тест, CN = Тест Период действия Не раньше: 29 ноября 16:45:04 2017 GMT Не после: 29 ноября 16:45:04 2019 по Гринвичу Тема: C = США, O = Тест, CN = Тест Информация об открытом ключе субъекта: Алгоритм открытого ключа: rsaEncryption Открытый ключ: (2048 бит) Модуль: ... Экспонент: 65537 (0x10001) Расширения X509v3: Использование ключа X509v3: критическое Цифровой подписи Использование расширенного ключа X509v3:  Аутентификация веб-клиента TLS X509v3 Идентификатор ключа субъекта:  CB: CA: EA: 1D: 3D: А3: 4E: D6: 88: 26: 28: 31: 70: 38: 18: 19: 5C: 8E: Е0: B6 

# ta.crl Список отзыва сертификатов (CRL): Версия 2 (0x1) Алгоритм подписи: sha1WithRSAEncryption Эмитент: / C = США / O = Тест / CN = Тест Последнее обновление: 29 ноября 16:45:04 2017 GMT Следующее обновление: 30 ноября 16:45:04 2017 GMT Расширения CRL: X509v3, выдающий точку распространения: критический ФИО: URI: HTTP: //localhost/crl/ta.crl Косвенный CRL  Номер CRL X509v3:  1 Нет отозванных сертификатов.