Условно говоря пара /var/lib/ssl/certs/openvpn-client-
CA.crt и /var/lib/ssl/certs/openvpn-client-
CA.key (удостоверяющие файлы центра сертификации ни какого отношения не имеющие к OpenVPN) создаются кем-то, где-то или сам можешь создать при помощи Openssl, OpenVPN тут вообще не приделах.
После сертификат /var/lib/ssl/certs/openvpn-client-CA.crt раздаешь клиентам, серверу и с помощью Openssl или скриптов на основе этой тулузы easy-rsa3 создаешь ключи клиентам
/var/lib/ssl/private/vova.key
/var/lib/ssl/certs/vova.cert
и серверу подписывая все ключом openvpn-client-CA.key (название и расширение не имеет значение, главное что внутри) Ключ openvpn-client-CA.key никому не показываешь и не передаешь, если где-то взял клиентские ключи и сертификаты, то openvpn-client-CA.key - тебе не дадут.
https://www.altlinux.org/OpenVPN - Создание ключей