Если я реализую PKI с несколькими уровнями CA, мне нужно иметь CRL для каждого отдельного CA, или я могу иметь только один CRL для всей иерархии (т.е. указывать все сертификаты на один CRL), или только несколько в верхние уровни иерархии?
Каждому ЦС необходимо будет опубликовать свой CRL.
Причина того, что с технической точки зрения невозможно объединить несколько CRL, заключается в том, что каждый CRL должен быть криптографически подписан центром сертификации, который его сгенерировал, поэтому это отношение 1-CA-to-1-CRL.