>32ありがと神様!(感謝)
onearm mode とOCSP サービスの意味がわかりません?
あと、証明書のオンライン申請/発行(←PKIサーバ=プライベートCA局)時の
動作がよくわかりません。

【簡単な動作1】

 クライアント →→→→→→→→→ サーバ
     ←←←←←←←←←
      サーバ証明書
  
 ■手動でルートCA証明書が入っていたらCAの公開鍵で
  共有鍵を暗号化した後サーバへ共有鍵を送信

 クライアント →→→→→→→→→ サーバ
      (データの暗号)

 自分では、こんなイメージです。