RFC 2560 явно требует наличия соответствующих полномочий у сертификата, которым подписан OCSP-ответ (см. https://www.ietf.org/rfc/rfc2560.txt  пп. 4.2.2.2  Authorized Responders).

 Есть три варианта:

- OCSP-ответ подписан непосредственно сертификатом издателя (УЦ) проверяемого сертификата.

- OCSP-ответ подписан сертификатом, выпущенным напрямую УЦ и имеющим назначение «Подпись OCSP-ответов»

- либо доверие обозначается локально на компьютере пользователя каким-либо другим способом.

Вариант такого «другого» способа  - групповая политика КриптоПро OCSP Client «Службы OCSP: сертификаты уполномоченных служб OCSP»

http://docs.cp.ru/pki/ocspsdk/ocspsdk-reference/group-policies

Но поскольку такую политику придется настраивать на компьютере каждого пользователя, которому нужно проверять OCSP-ответы, то предпочтительнее, чтобы сертификат оператора службы OCSP был выпущен тем же УЦ, что и проверяемый сертификат.