Уже выданные сертификаты могут быть отозваны администратором. Список отозванных сертификатов (CRL) хранится в том же файле где находится сертификат которым подписаны клиентские сертификаты и цепочка сертификатов до CA. В нашем примере это один CA в ca-crt.pem созданный в п. 1.1.

Далее, все действия производятся в той же директории где мы создавали сертификаты (C:\Manjary\cert). Отозвать сертификат и дополнить список отозванных сертификатов в файле ca-crt.pem можно выполнив команды:

openssl ca -config ca.conf -keyfile ca-key.pem -cert ca-crt.pem -revoke u1-crt.pem
openssl ca -config ca.conf -gencrl -keyfile ca-key.pem -cert ca-crt.pem -out ca-crl.pem
cat ca-crl.pem >>ca-crt.pem

Чтобы перезагрузить файл ca-crt.pem, необходимо дать сигнал серверу для чтения конфигурации:

manjary -k reconfig

С этого момента пользователь с выданным сертификатом не сможет установить шифрованное соединение и предоставить свой сертификат для аутентификации. В лог-файле сервера при этом появятся такие записи:

143511 5 IMAP p6w S:2 OK STARTTLS Begin TLS negotiation now
143511 2 IMAP p6w Error establishing a secure connection (1)
143511 3 IMAP p6w SSL: 537121888:error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed:../ssl/statem/statem_srvr.c:3711: