Dove trovare la lista di certificate authority CA per verificare la validità dei file p7m?

Ciao, sto estraendo con dei comandi OpenSSL i file XML (e i certificati PEM) dalle fatture elettroniche in formato P7M.

Fin qui tutto bene:

  • per leggere l’XML: openssl smime -verify -noverify -inform DER -in la_mia_fattura.xml.p7m -out la_mia_fattura.xml
  • per scorporare il certificato PEM: openssl pkcs7 -inform DER -print_certs -in la_mia_fattura.xml.p7m -out certificato_estratto_dalla_fattura.pem

Adesso vorrei poter verificare che i certificati PEM siano validi (ed eventualmente anche direttamente le fatture crittografate come P7M). Dove si possono trovare le liste di CA Certificate Authority?

So che in teoria potrei fare qualcosa come:

  • openssl verify -CAfile la_mia_lista_di_CA.pem certificato_estratto_dalla_fattura.pem
  • openssl smime -in la_mia_fattura.xml.p7m -inform DER -verify -CAfile la_mia_lista_di_CA.pem -out la_mia_fattura.xml

Ma dove trovo questa lista nel file la_mia_lista_di_CA.pem?

Su internet vedo vari posti tutti simili fra loro, sembra come che nel tempo lo stato italiano abbia cambiato gli URL, ma quale usare? C’è un documento ufficiale che descrive cosa sono questi URL e come usarli?

Presumo di dover pescare tutti i contenuti dei campi XML X509Certificate per poi passarli come parametro per -CAfile, qualcuno che ha fatto qualcosa di simile?