bouncycastleでCRLを作るプログラムを作っていたのですがどうも失効になりません。よくよく調べたら証明書のIssureをCA証明書からとっていたのですがなんとなくやっていたら中身が反転していました。X509のコンストラクタに順序を逆にすると言うのがあって、以下のようにする必要があるようです。

X509Name issuer = new X509Name(true, cacert.getIssuerDN().getName());

てかDNの表現ってよく理解していないのですが、順序が関係あるということは単なるキーとバリューの組ではないってことですね。