As duas senhas diferentes, embora semelhantes no que o usuário vê, são completamente diferentes no que protegem.
A senha da chave privada é a chave de descriptografia da chave privada do usuário, introduzindo segurança para situações de dados em repouso. Ele pode ser alterado e removido pelo usuário a seu gosto, desde que esteja familiarizado com o certificado x.509 e o manuseio de chaves privadas. Deve-se notar que, no melhor de todos os mundos, você, como operador de gateway da VPN, não teria nenhum conhecimento das chaves privadas do usuário e suas senhas, pois elas seriam geradas e mantidas pelos próprios usuários.
A diretiva auth-user-pass está consultando uma combinação de nome de usuário / senha para o acesso do OpenVPN. É comparável ao que o XAuth faz para o IPSec - usando-o O OpenVPN pode ser integrado a serviços de autenticação externos como RADIUS, LDAP ou PAM. Isso pode ser usado para mitigar incidentes de "chave privada roubada", mas é mais provável que esteja acabando como o único método de autenticação na maioria das instalações para que o OpenVPN possa ser executado sem certificados de cliente (com o client-cert opção não-obrigatória) e fornecer algumas funcionalidades de logon único para os guerreiros de estrada de discagem VPN.
Se uma das opções é "melhor" do que a outra depende muito do que você está realmente fazendo e do que deseja realizar.