Estoy usando OpenSSL para verificar un código firmado en una PKI personalizada. ¿Cómo puedo verificar la CRL de cada nodo de la jerarquía de certificados?
Mi jerarquía es: RootCA - > SubCA1 - > SubCA2 - > Usuario final. Puedo verificar la CRL para una cadena de profundidad:
~/$ cat RootCA.crl.pem RootCA.pem > RootCA.chain.pem
~/$ openssl verify -check_crl -CAfile RootCA.chain.pem SubCA1.pem
CN = SubCA1
SubCA1.pem: OK
Sin embargo, cuando trato de lograr lo mismo con múltiples subCA, la validación de CRL falla:
~/$ cat RootCA.crl.pem RootCA.pem > RootCA.chain.pem
~/$ cat SubCA1.crl.pem SubCA1.pem > SubCA1.chain.pem
~/$ openssl verify -check_crl -CAfile RootCA.chain.pem -untrusted SubCA1.chain.pem SubCA2.pem
CN = SubCA1
error 3 at depth 0 lookup: unable to get certificate CRL
error SubCA2.pem: verification failed
¿Es posible lograr esta verificación de profundidad múltiple de la CRL? También he intentado con -check_crl_all, pero da el mismo error.