Não existe exatamente uma maneira padrão de gerar esses certificados. Dependendo do conteúdo do seu script, ele pode estar fazendo várias coisas. No entanto, há duas coisas que vou apontar.
Em primeiro lugar, você não disse que a conectividade não está funcionando. Eu realmente espero que ninguém seja capaz de autenticar com esses certificados; se estiverem, significa que qualquer usuário pode assinar outra solicitação de certificado arbitrário e conceder acesso à sua VPN. A maneira de evitar isso é emitir certificados que explicitamente não são certificados de autoridade de certificação e só têm os atributos de uso de chave necessários definidos.
De qualquer forma, normalmente você estará assinando os certificados com o comando openssl ca , que depende dos parâmetros de um arquivo openssl.conf (normalmente em /etc/openssl.conf ou especificado na linha de comando). Verifique se as opções estão corretas. Encontre o certificado de autoridade de certificação e a chave que ele está usando e verifique se estão corretos (novamente, isso está no arquivo de configuração openssl ou na linha de comando).
Se você não estiver usando o openssl, a mesma solução geral se aplica: encontre o certificado de autoridade de certificação e verifique se ele não foi substituído acidentalmente.
Se você de alguma forma conseguiu substituir a chave (ou alguém fez), você terá que encontrar uma cópia de backup ou reconstruir sua PKI.
Sem o conteúdo do seu script, não há muito mais que eu possa lhe dizer.