OpenVPN на pfSense: проверка CRL не выполняется с глубиной PKI 2

Я создал структуру OpenVPN между сайтами на pfsense 2.2, используя встроенный диспетчер сертификатов и следующее:

• Есть корневой ЦС и промежуточный ЦС, из которых выдаются сертификаты сервера и клиента.
• Полная цепочка передается клиенту OpenVPN.
• На сервере установлен одноранговый центр сертификации для промежуточного ЦС.
• На сервере установлен сертификат сервера, соответствующий сертификату, выданному промежуточным центром сертификации.
• Сервер имеет одноранговый CRL, установленный на CRL, созданный из промежуточного CA
• Клиенты подключаются и работают нормально, но журналы продолжают сообщать мне:

... CRL /var/etc/openvpn/server3.crl-verify is from a different issuer than the issuer of ...

Я попытался заменить одноранговый CA и CRL корневым CA (в конфигурации OpenVPN), и произошло то же самое. Я пробовал все комбинации связанных сертификатов на стороне клиента. То же сообщение журнала.

Есть идеи, что мне не хватает? Кажется, что CRL не только не соблюдается, но даже не имеет никакого эффекта.