Cерты пользователям можно включать непосредственно в конфигурацию, называется это inline certificates
1 Отозвать серт можно тем же easy-rsa которым он генерился
2 Обновится файл .crl со списком отзыва
3 Делаем reload для openvpn чтобы сервер перечитал изменения в файлах конфигурации