OCSPがCRLに代わって証明書が失効されていないかどうかを確認する手段である、という認識はあったが、実際にこれがどのように動作するかについては認識が甘かった。大抵の場合は、手動で確認しに行くわけではなく、証明書に組み込まれた情報をもとにSSLクライアントが確認しに行くもののようだ。
そして、opensslで証明書を作成していると、デフォルトではこの情報は組み込まれない。外部サイトなどを参考に確認してみたが、最低でもサーバー証明書には

• authorityInfoAccess
• crlDistributionPoints

の二つが必要っぽい(正確にはわからない)。そして、OCSP Responderの証明書には、extendedKeyUsage = OCSPSigningが必要なようだ。これまで使用してきたopenssl.cnfの内容はOCSPに対応していないことになる。構成の見直しが必要そうだ。