для проверки токена метки времени RFC 3161 по сертификату, который отображается во внешнем доверенном списке сертификатов, поэтому проверка на этом останавливается. Нет необходимости проверять всю цепочку сертификатов.

openssl ts -verify требуется сертификат CA либо в CAfile, либо в CApath. Есть ли способ проверить токен по сертификату иничего больше?