WItam, W FreeRADIUSie przy EAP-TLS mozesz wlaczyc sprawdzanie list CRL - list certyfikatow odwolanych/uniewaznionych. Po wlaczeniu tej opcji aby zablokowac czyjs dostep (certyfikat) po prostu go uniewazniasz (revoke) w CA, generujesz nowa liste CRL (obie rzeczy jak i cale CA mozesz postawic na np. OpenSSLu), restartujesz FreeRADIUSa i tyle. Nie wpusci osoby z odwolanym certyfikatem.
Z powazaniem, Krzysztof Stelmach - List info/subscribe/unsubscribe? See http://www.freeradius.org/list/users.html