Тут такой вопрос, знаю что крипто про умеет СОС проверять онлайн, ну и тем более штамп времени.
1) А вот серты издателей(те что для цепочки) должны быть обязательно установлены в локальное хранилище?
по логике нет (вижу в серте CA cert URL). Но ошибки странные у клиента (кспд, чтб ее),
Can't open certificate store: 'data.xml.sig'. Error: No certificate found. ../../../../CSPbuild/CSP/samples/CPCrypt/Certs.cpp:290: 0x2000012D
cryptcp <capi20>CertOpenStore!failed: LastError = 0x8009001D
2) Как можно серт из файла чекнуть на валидность в терминале, чтобы еще всю цепочку распечатать?
UPD:
CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -dn "E=user@test.local" -f ./s.cer -df ./c.cer
ЗЫ утверждают что ничего не трогали, полтергейст начался с середины января.
UPD2 интересно, что когда я импортирую через sudo в -store u (при этом все время ошибки импорта, если список сертов), то проверять тоже требуется под Sudo (дебиан),
а если закинуть в -store m, то чекается без ошибок и даже вроде быстрее дэцл.