Openvpn: gerar certificados de cliente fora da autoridade de certificação existente

Minha empresa usa o OpenVPN para conectar nossos clientes ao nosso servidor central para facilitar o gerenciamento. Nosso software de firewall (e deles) tem suporte incorporado ao OpenVPN e inclui um gerador de certificados. Recentemente, este gerador parou de funcionar e não sabemos por quê. No entanto, foi difícil no passado, por isso queremos tentar uma nova abordagem.

Gostaríamos apenas de gerar certificados de cliente em um computador local com o OpenVPN, em vez de no software de firewall, já que parece ser um buggy. Temos uma Autoridade de Certificação existente e tenho o certificado completo legível em texto simples. Isso obviamente inclui todas as informações do emissor, módulo, assinatura e o próprio certificado.

Minha pergunta então é, posso usar o OpenVPN em uma distribuição Linux baseada em Debian para gerar certificados de clientes da Autoridade de Certificação existente? Eu poderia regenerar e assinar um novo CA, mas eu prefiro não como temos alguns clientes e atualizando seu certificado de cliente VPN seria um aborrecimento.

Eu tentei gerar uma CA com o OpenVPN e alterar os dados do certificado com o que eu preciso, mas o OpenVPN parece gerar um pouco diferente do meu formato.

A CA e os clientes são PKCS12. Isso é possível? Ou eu teria que refazer tudo?