1. Revocacin de certificados OpenVPN: El ejemplo se hace tomando el certificado de Pepito Prez (pperez), creado y gestionado en la mquina llamada "gatesheaven" y en un sistema operativo FreeBSD.$ cd /usr/local/etc/openvpn/easy-rsa(como se trabaja con el usuario "root" que usa la shell tcsh, hay que pasar a la shell Bash)$ bash$ source ./vars$ ./revoke-full pperezAparecer un output indicando datos varios como el correo, datos del cliente.crt, etc. Muy probablemente aparezca un error como este: error 23 at 0 depth lookup:certificate revokedPrecisamente es lo que se busca, porque indica que la verificacin del certificado revocado ha fallado.El script "revoke-full" generar un CRL (certificate revocation list) llamado crl.pem en el directorio /usr/local/etc/openvpn/cert, Este fichero debe copiarse a un directorio donde el servidor OpenVPN pueda acceder (el mismo propio de la configuracin), y activar dicho fichero en la configuracin del servicio, aadiendo al fichero /usr/local/etc/openvpn/isengard.conf lo siguiente:crl-verify crl.pem(NOTA: evidentemente hay que reiniciar el servicio).A partir de ese momento, todos los clientes que se conecten sern verificados (su certificado) contra ese fichero, y cualquier resultado positivo ser descartado (no permitir la conexin).NOTAS CRL: Cuando la opcin crl-verify es usada en OpenVPN, el fichero CRL esreleido cada vez que un nuevo cliente se conecta (o un cliente ya conectadorenegocia la conexin SSL/TLS (por defecto una vez cada hora). Esto hace que sepueda actualizar el fichero CRL mientras que el demonio OpenVPN estcorriendo, y el nuevo CRL tendr efecto inmediato para los nuevos clientes que seconecten (o reconecten). Si el cliente al que se le ha revocado el certificado est 2. conectado, se puede reiniciar el servidor OpenVPN va script de reinicio (/usr/local/etc/rc.d/openvpn en FreeBSD isengard), o bien enviando una seal SIGUSR1 o SIGHUP al proceso), haciendo un flush a todos los clientes. Como la directiva crl-verify puede ser usada tanto en la parte servidor como cliente del OpenVPN, normalmente es completamente innecesario distribuir el fichero CRL a los clientes, salvo que el certificado de servidor haya sido revocado. Evidentemente los clientes no tienen porqu saber nada al respecto, y menos saber qu otros certificados de clientes han sido revocados.