如何验证间接 CRL？

我正在尝试制作一个使用间接 CRL 的示例。但是当我尝试使用 openssl verify 命令进行验证时，我得到的要么是“无法获取证书 CRL”要么是“不同的 CRL 范围”。

问题是：

• 我是否正确使用了 openssl verify 命令？
• 证书或 CRL 中是否缺少某些内容？

PKI 树如下所示：

                 钙
                  |
    --------------------------------
    | | |
   a-td b-td ta
    | | |   
客户端证书 服务器证书 crl

这个想法是，TA 充当 CRL 颁发者并创建间接 CRL 来撤销客户端证书。

为了测试这一点，我使用 openssl verify 工具如下：

openssl verify -crl_check \
    -CAfile <(cat ca.pem b-td.pem) \
    -untrusted <(cat ta.pem ta.crl) \
    -extended_crl client1.pem

结果是“无法获取证书 CRL”。

当我将 CRL 添加到 CAfile 链时，我得到“不同的 CRL 范围”。

openssl verify -crl_check \
    -CAfile <(cat ca.pem b-td.pem ta.pem ta.crl) \
    -extended_crl client1.pem

我在此还列出了 a-td.pem、ta.pem、client.pem 和 CRL 的详细信息。

#a-td.pem
证书：
    数据：
        版本：1（0x0）
        序列号：2（0x2）
    签名算法：sha1WithRSAEncryption
        发行者：C=US、O=测试、OU=测试证书颁发机构、CN=测试根 C-TA
        有效性
            不早于：2017 年 11 月 29 日 16:07:40 GMT
            不晚于：2027 年 11 月 29 日 16:07:40 GMT
        主题：C=US、O=测试、CN=测试
        主题公钥信息：
            公钥算法：rsaEncryption
                公钥：（2048 位）
                模量： ...
                指数：65537（0x10001）
        X509v3 扩展：
            X509v3 密钥用法：关键
                证书标志，CRL 标志
            X509v3 基本约束：关键
                CA:TRUE, 路径长度：0
            X509v3 主题密钥标识符：
                92:D9:C4:68:BF:EA:D7:41:64:C1:92:A3:00:A0:09:06:5F:B4:61:07

# ta.pem
证书：
    数据：
        版本：1（0x0）
        序列号：4 (0x4)
    签名算法：sha1WithRSAEncryption
        发行者：C=US、O=测试、OU=测试证书颁发机构、CN=测试根 C-TA
        有效性
            不早于：2017 年 11 月 29 日 16:45:03 GMT
            不晚于：2027 年 11 月 29 日 16:45:03 GMT
        主题：C=US、O=测试、CN=测试
        主题公钥信息：
            公钥算法：rsaEncryption
                公钥：（2048 位）
                模量：...
                指数：65537（0x10001）
        X509v3 扩展：
            X509v3 密钥用法：关键
                CRL 签名
            X509v3 基本约束：关键
                CA:TRUE, 路径长度：0
            X509v3 主题密钥标识符：
                F1:FC:12:14:1E:93:D0:FA:9E:A6:01:D9:​​1D:33:BE:70:BD:79:80:FC
            X509v3 主体备用名称：
                URI:http://localhost/crl/ta.crl
            X509v3 CRL 分发点：

                全名：
                  URI:http://localhost/crl/ta.crl

#客户端.pem
证书：
    数据：
        版本：1（0x0）
        序列号：1（0x1）
    签名算法：sha1WithRSAEncryption
        发行人：C=US、O=Test、CN=Test
        有效性
            不早于：2017 年 11 月 29 日 16:45:04 GMT
            不晚于：2019 年 11 月 29 日 16:45:04 GMT
        主题：C=US、O=测试、CN=测试
        主题公钥信息：
            公钥算法：rsaEncryption
                公钥：（2048 位）
                模量： ...
                指数：65537（0x10001）
        X509v3 扩展：
            X509v3 密钥用法：关键
                电子签名
            X509v3 扩展密钥用法：
                TLS Web 客户端身份验证
            X509v3 主题密钥标识符：
                CB:CA:EA:1D:3D:A3:4E:D6:88:26:28:31:70:38:18:19:5C:8E:E0:B6

# ta.crl
证书吊销列表 (CRL)：
        版本 2 (0x1)
    签名算法：sha1WithRSAEncryption
        发行人：/C=US/O=Test/CN=Test
        最后更新：2017 年 11 月 29 日 16:45:04 GMT
        下次更新：2017 年 11 月 30 日 16:45:04 GMT
        CRL 扩展：
            X509v3 发行分发点：关键
                全名：
                  URI:http://localhost/crl/ta.crl
                间接 CRL

            X509v3 CRL 编号：
                1
没有已撤销的证书。