Isso pode não ser possível, pelo menos na forma que você gostaria.
Considere que, nos CRLsets do Chrome, há (possivelmente) vários certificados revogados de vários CAs. Um único arquivo CRL que contém certificado de várias CAs é conhecido como "CRL indireta". CRLs indiretas são mal suportadas; veja aqui e aqui ; O OpenSSL pode não ser capaz de fazer isso.
Além disso, como o @bentek menciona, parece que o formato CRLsets não é compatível. Especificamente, o formato CRLsets não contém todos os campos necessários da CRL; veja RFC 5280, Seção 5.1 . CRLsets contém (por sua documentação) o hash SHA-256 das Informações de Chave Pública do Assunto para os certificados de emissão e os números de série do certificado para certificados revogados desse certificado de emissão. Não há informações suficientes para reconstruir uma CRL direta ( isto é, um arquivo CRL por CA), infelizmente, se quiséssemos. A maior falta / omissão, IMHO, é o nome (DN) do emissor do certificado revogado. As CRLsets nos fornecem uma "impressão digital" (o hash SHA-256 SPKI), mas o mapeamento dessa impressão digital para o DN do certificado em questão, dado o escopo da Internet, não seria uma tarefa fácil.