Sto usando OpenSSL per verificare un codice firmato in una PKI personalizzata. Come posso verificare il CRL di ciascun nodo della gerarchia di cert.
La mia gerarchia è: RootCA - > SubCA1 - > SubCA2 - > Utente finale. Posso verificare il CRL per una catena di profondità:
~/$ cat RootCA.crl.pem RootCA.pem > RootCA.chain.pem
~/$ openssl verify -check_crl -CAfile RootCA.chain.pem SubCA1.pem
CN = SubCA1
SubCA1.pem: OK
Tuttavia, quando provo a ottenere la stessa cosa con più subCA, la validazione del CRL fallisce:
~/$ cat RootCA.crl.pem RootCA.pem > RootCA.chain.pem
~/$ cat SubCA1.crl.pem SubCA1.pem > SubCA1.chain.pem
~/$ openssl verify -check_crl -CAfile RootCA.chain.pem -untrusted SubCA1.chain.pem SubCA2.pem
CN = SubCA1
error 3 at depth 0 lookup: unable to get certificate CRL
error SubCA2.pem: verification failed
È possibile raggiungere questa verifica multi-profondità del CRL? Ho anche provato con -check_crl_all, ma dà lo stesso errore.