На фоне отсутствия revocation lists - ну, это просто игрушка. :(
Не совсем игрушка - можно делать revocation на основании
$ssl_client_s_dn.
"/C=RU/ST=Region level/L=Location/O=Orga nisa tion/OU=Our
Client/CN=Ivanov Ivan Ivanovich"
Предлагается по строчкам такого типа, которые могут содержать
произвольный набор символов, делать фильтрацию клиента?
А нельзя ли там ловить что-то более формализованное в длине и формате, а
значит - удобное для манипуляции? Например:
X509v3 Subject Key Identifier:
B0:46:63:B7:CB:AF:E7:EC:7F:AE:06:B8:68:12:87:65:9D:47:39:66