O CApath é usado com as opções verifyChain ou verifyPeer, não vejo nenhuma dessas opções em nenhum lugar. Observe também que "os certificados neste diretório devem ser nomeados XXXXXXXX.0, onde XXXXXXXX é o valor de hash do assunto codificado por DER do certificado." (retirado do manual do stunnel)
O que acontece quando você testa o certificado com o seguinte:
openssl verify -CApath /opt/certs/stunnels/cacerts/ server-certificate-file