У меня настроен ЦС (root и под ним подпись).Затем я использую подписывающий CA для выдачи двух сертификатов, req1 и req2.Я использовал gSOAP для написания службы на основе WSDL / SOAP, которая проверяет подписи с использованием WSSE.Используя тестовый клиент, я проверяю, что оба сертификата могут подписать запрос на мой сервер.Затем я отменяю req1 и загружаю CRL на свой сервер.Делая запрос с req1, я получаю X509_V_ERR_CERT_REVOKED, как и ожидалось.Однако использование req2, которое не было отменено, теперь приводит к X509_V_ERR_UNABLE_TO_GET_CRL.При использовании инструментов командной строки openssl для проверки состояния двух сертификатов по CRL я получаю ожидаемый результат: «revoke» и «ok».Однако внутри моего приложения работает только отозванная часть.
Любые советы?
ОБНОВЛЕНИЕ: после n слоев отладки я понял, что это корневой и подписывающий ЦС, которые порождаютэта проблема, т. е. req2, рассматривается не как без CRL, а фактически с сертификатами корневого и подписывающего CA.КСТАТИ.У меня нет X509_V_FLAG_CRL_CHECK_ALL, переданного X509_STORE_set_flags.