Hallo Thomas,
… und noch eine Frage … 
Ich habe in der Zwischenzeit etwas herumprobiert und gesehen, dass man mit der oben beschriebenen Methode direkt auf der OPNSense wirklich sehr bequem mit sehr wenigen Klicks die gesamte Chain of Trust sowie Client-Zertifkate erzeugen/widerrufen kann. 
Was ich jedoch bisher vermisse ist ein Automatismus, wie man ihn vom ACME-Client und den LE-Certs kennt – also: Sobald abgelaufen → erneuern.
Das scheint im OPNSense-WebUI so nicht möglich zu sein bzw sogar so gewollt sein, oder 
?!
Wenn man nun zurück an Deinen Beitrag hier bzgl der max. Gültigkeit denkt (die z.B. von Apple-Geräten eingefordert wird) muss man das regelmäßig komplett erneuern bzw. immer wieder neu Handarbeit anlegen, richtig? Oder wie vereinfachst Du diese Schritte?
Viele Grüße,
Michael