Действительно ли безопасно совместно использовать легкие-rsa ключи между машинами? Как?

С моей конфигурацией openvpn вопрос сервер спрашивает себя, когда сертификат представлен конечным пользователем: этот сертификат подписывается правильным CA?

Если оба сервера имеют тот же корневой установленный сертификат CA, то Вы не должны синхронизировать keystores, потому что Вам не нужны два keystores вообще. Вам нужен один keystore, который не должен быть ни на одном из двух openvpn полей (и возможно не был должен). От этого keystore Вы делаете корень CA доступным и для openvpn серверов и говорите им, где это:

ca /etc/openvpn/keys/ca.crt

и Вы делаете клиентские сертификаты, подписанные с этим CA и соответствующими секретными ключами клиента, доступными клиентам. Вы также делаете пару сертификата/файла ключей сервера и помещаете это на одно или оба из серверов (или генерируют одна пара для каждого сервера, если Вы любите; если клиенты установлены проверить сервер и иметь копию сертификата CA, любой в порядке). Сервер может проверить клиентские сертификаты, потому что он имеет копию сертификата CA. Серверу не нужно представление в keystore, больше, чем клиенты.