1. Когда центр сертификации выдает сертификат на защищенный веб-сайт, этот сертификат обычно содержит информацию, которая позволяет браузеру клиента проверить, что сертификат не был выпущен по ошибке (или был скомпрометирован) и впоследствии отозван центр сертификации.
2. Центры сертификации (CA) необходимы для отслеживания аннулированных сертификатов SSL. После того, как центр сертификации (ЦС) отзывает сертификат SSL, ЦС берет серийный номер сертификата и добавляет его в свой список отзыва сертификатов (CRL). URL-адрес списка отзыва сертификатов центра сертификации содержится в каждом SSL-сертификате в поле CRL Distribution Points.

Следующий шаг (сейчас ошибка не обнаружена, но появится следующим)

3. Чтобы проверить статус отзыва SSL Сертификат, клиент подключается к URL-адресам и загружает списки отзыва сертификатов CA. Затем клиент ищет в CRL серийный номер сертификата, чтобы убедиться, что он не был отозван.

Таким образом, вы должны

• Иметь «Точки распространения CRL» во всех выпущенных вами сертификатах (см. на странице руководства x509v3_config подробные сведения о формате раздела # extension)
• Заполните «Точки распространения CRL» действительными данными
• Составьте список в правильном (понятном для инструментов клиента) формате