Depois de algumas descobertas, descobri que foram os scripts do Powershell que geraram os arquivos chave e cert.
Usando o Notepad ++ no Windows e o Tex-Edit Plus no OSX para identificar caracteres ocultos, descobri que os arquivos tinham [cr] extras no final.
Usando o comando
openssl rsa -in <private key file> -noout -text
openssl x509 -in <cert file> -noout -text
São boas verificações para a validade dos arquivos
Como minha origem era codificada em base64, acabei usando o comando certutil no Windows (por exemplo)
certutil -f -decode cert.enc cert.pem
certutil -f -decode key.enc cert.key
no windows para gerar os arquivos. Uma vez que os arquivos estavam corretos, o comando OpenSSL acima funcionou como esperado.