我正在使用OpenSSL验证自定义PKI中的签名代码。如何验证证书层次结构中每个节点的CRL。
我的层次结构是:RootCA-> SubCA->最终用户->签名。我使用2个步骤来验证签名(由EndUser签名的文本文件):验证证书链并使用EndUser的公钥验证签名:
openssl verify -CAFile RootCA.pem -untrusted SubCA.pem EndUser.pem
openssl x509 -pubkey -in EndUser.pem -out EndUser.key.pub
openssl dgst -sha256 -verify EndUser.key.pub -signature mytext.sign mytext.txt
这可以正确验证链和签名,但不能验证CRL。是否可以使用openssl验证链中每个CA的CRL(以检查是否吊销了一个证书)?