Eu não sei nada sobre o seu equipamento da Cisco, mas de um modo geral, qualquer cliente SSL terá cópias instaladas da chave pública para as CAs em que confia. Presumo que seu kit da Cisco seja o mesmo, mas não posso ajudá-lo com a instalação de um certificado específico que ainda não possui.
Se o seu sistema depende da infra-estrutura pública da CA, muito pouco ajudará se a CA estiver comprometida. Nesse ponto, um invasor MITM pode assinar sua própria chave e há pouco que você pode fazer para distinguir se essa chave foi legitimamente assinada ou não. Se o invasor tiver a chave CA, não haverá diferença entre eles e um assinado pela CA usando a mesma chave. A única coisa que você pode fazer é certificar-se de que você tem um mecanismo para rastrear revogações que podem ser emitidas para os certificados de autoridade de certificação.
Se você quiser aceitar apenas certificados assinados por uma CA específica (limitando sua exposição a outras CAs que estão sendo comprometidas), você poderá remover todos os certificados da CA, exceto o que você confia.
Muitas comunicações SSL com um conjunto conhecido de dispositivos (e isso é provável para um produto VPN) mantêm um registro com uma impressão digital do certificado de cada cliente ou assinam os certificados do cliente com uma chave mantida pelo servidor (ou seja, o servidor é a sua própria CA). Nesses casos, não há necessidade de uma CA externa, mas deve haver um sistema para emitir ou assinar com segurança os certificados. Isso parece provável para o seu produto VPN, mas, como eu digo, não conheço o equipamento da Cisco. No entanto, se você tiver uma arquitetura desse tipo, o ponto principal é que o comprometimento de CAs públicas provavelmente não o preocupará.
Se você tiver um sistema no qual seu servidor VPN esteja assinando certificados, ter os certificados de clientes assinados por sua própria CA é tão bom quanto verificar os certificados do cliente em algum tipo de registro, que é a lista de certificados seria efetivamente.