Расширение CDP для коневого сертификата смысла не имеет. Уберите его оттуда. CDP должно присутствовать во всех сертификатах промежуточных ЦС и в клиентских сертификатах. Так же рекомендую прописать расширение AIA caIssuer для всех сертификатов, кроме корневого. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,217672,218035#msg-218035