Коллега, чтобы всё заработало вам нужно либо 1) экспортировать открытый ключ от вашего CA и загнать его в пограничный сервер в доверенные корневые центры сертификации и после этого каждому вашему клиенту на мобильной платформе вместе с реквизитами доступа отдавать этот сертик для установки на девайсы либо 2) Купить белый серт и добавить его CA в доверенные корневые, при этом на девайсах он должен разумеется быть в довереных по-умолчанию.
Второй СА в данном случае у вас совершенно не решение проблемы.
Ну и да, что бы всё заработало нужно опубликовать crl листы на публичном хосте (IIS \ Apache) - это статика - ничего не секьюрного в этом нет - это основы и принципы работы механизмов сертификатов. Давать с наружи доступ до CA не нужно.
