Necesitaremos contar con la clave privada y el certificado con el cual firmaremos la CRL  y luego ejecutamos el comando

openssl ca -gencrl -keyfile ca_key -cert ca_crt -out my_crl.pem

Con las opciones por defecto de openssl se requerira contar con una carpeta como la siguiente en el directorio actual, pero no hay que preocuparse aún por esto porque openssl nos mostrará un mensaje adecuado de error advirtiéndonos de esto:

demoCA/
– crlnumber
– index.txt

donde index.txt será un archivo vació y crlnumber contiene solamente ¨01¨, sin las comillas.

Y listo tenemos una CRL vacía, en una entrada posterior mostraré como incluir algunos certificados revocados en esta.