Hallo,
Alles klar - das Problem ist etwas tiefergehend:
Die CA-Zertifikate der A-Trust bieten die Widerrufsprüfung nur via CRL an. OCSP wird nur für Enduser-Zertifikate unterstützt. Das Problem ist nun, dass Sie nur OCSP ermöglichen und MOA-SP daher den Status der CA-Zertifikate nicht feststellen kann. Abhilfen gibt es zwei:
1.) CRL-Prüfung über den Proxy erlauben, wobei ich nicht weiß ob das bei Ihnen möglich ist bzw. mit welchem Aufwand es verbunden ist.
2.) Sie müssen allen Intermediate-CA Zertifikaten direkt vertrauen, d.h. sie müssen diese dem entsprechenden Vertrauensprofil hinzufügen. Meines Wissens nach müssen Sie auch das OCSP-Responder in das Vertrauensprofil geben, da diese auch nur CRL unterstützt. Das "Problem" bei dieser Variante ist jedoch, dass sobald es eine neues Intermediate-CA Zertifikat gibt, diese wieder dem Vertrauensprofil hinzugefügt werden muss (beim OCSP Responder Zertifikat ist das Problem wohl geringer, da dieses ja erst kürzlich ausgetauscht wurde und daher noch länger eingesetzt wird).
MfG