Verificar que el certificado sea revocado por CRL

Debe especificar -crl_check (y deletrear verify correctamente) Y tener el certificado de CA y la CRL (aplicable) en su almacén de confianza. Hay dos formas de hacerlo:

1. concatene cacert.pem y crl.pem en un archivo uno y úselo para -CAfile .
2. coloque o vincule el archivo cacert PEM en un directorio con el nombre $hash.0 donde $ hash es el hash del sujeto cert (que para un certificado raíz también es el emisor) como salida por openssl x509 -noout -subject_hash -in $cert ; y ponga o vincule el archivo PEM de la CRL en el mismo directorio usando el nombre $hash.r0 donde $ hash es el hash del emisor de la CRL como resultado por openssl crl -noout -hash -in $crl (que aquí será el mismo que el certificado); y usa ese directorio para -CApath . (En un caso más general en el que tiene muchos certificados y / o CRL y hay colisiones de hash, aumenta el 0 a 1, etc.)

El Enfoque 2 es probablemente el que ha visto referenciado, pero tenga en cuenta que no es el certificado ni el CRL como tal el hash. Dependiendo de si está utilizando la distribución fuente de openssl o una compilación empaquetada, en Unix puede proporcionar un script c_rehash que configura enlaces simbólicos para el enfoque 2; en Windows AFAICT estás solo, y hacerlo a mano es más bien una molestia (pero es posible).