Как отзыв сертификата работает с промежуточными ЦС?
Предположим, что иерархия PKI как ниже.
root CA ==> inter-1 CA ==> user-1
\
\======> inter-2 CA ==> user-2
Мой вопрос: нужно ли корневому CA периодически загружать CRL от своих дочерних элементов: inter-1 и inter-2?
Поскольку user-1 и user-2 могут аутентифицировать друг друга, если сертификат пользователя-2 отозван в inter-2, inter-2 должен сообщить root и затем распространиться в inter-1 и user-1, верно?
Если так, это кажется довольно сложным. Есть ли какой-либо инструмент для управления логикой отзыва? Большое спасибо.