ChromeのCRLセット（またはマスターCRLリスト）をCRLファイルとして使用する方法

マスターCRLリストを探しています。私が見つけた最も近いものは、ChromiumプロジェクトのCRLSetsです。crlset-toolsを使用してcrlset（crlset fetch > crl-set）を取得し、シリアル番号をダンプ（crlset dump crl-set）したため、次のように表示されます。

f24196ae94078667348f02e8e37458a3a6e6aad1e0b0dc610118cce721427bfc
  03fb3b4d35074e
  03fbf94a0e6c39
  04097214d6c97c
  0442c6b3face55
  ....

すべての不正なシリアルのマスターリストを含むCRLファイルをopensslまたはcurl（opensslを使用）に渡すことができます。たとえば、verisignのcrlを渡すだけでなく、すべてを渡す必要があります。これをcrlsetで実行できると考えましたが、この形式には互換性がないと思います。試しましたopenssl crl -inform DER -text -in crl-setが、それは言います：

unable to load CRL
5532:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:
1319:
5532:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:ta
sn_dec.c:381:Type=X509_CRL

誰かが私が話していることを行う方法や、これを行う創造的な方法についてのアイデアをお持ちの場合は、お知らせください。ありがとう

少なくともあなたが望む形では、これは不可能かもしれません。

ChromeのCRLsetsには、複数の CA から（おそらく）複数の失効した証明書があることを考慮してください。複数の CA からの証明書を含む単一のCRLファイルは、「間接CRL」と呼ばれます。間接CRLは十分にサポートされていません。こことここを参照してください。OpenSSLではこれができない場合があります。

さらに、@ bentekが述べているように、CRLsets形式には互換性がないようです。具体的には、CRLsets形式には必要なCRLフィールドのすべてが含まれていません。RFC 5280、セクション5.1を参照してください。CRLsetsには、そのドキュメントごとに、発行する証明書のサブジェクト公開鍵情報のSHA-256ハッシュと、発行する証明書から取り消された証明書の証明書シリアル番号が含まれます。残念ながら、必要に応じて、直接 CRL（つまり、CAごとに1つのCRLファイル）を再構築するのに十分な情報がありません。最大の欠如/脱落、私見は、名前です（DN）失効した証明書の発行者。CRLsetsは「指紋」（SHA-256 SPKIハッシュ）を提供しますが、インターネットの範囲を考えると、その指紋を問題の証明書のDNにマッピングすることは簡単な作業ではありません。