Was willst Du denn jetzt hören?
Sicher? OpenVPN ist eine sichere Lösungen. Punkt.
Synology-OpenVPN läuft nicht über zertifikatsbasierte Authentifikation mit individuellen Client-Schlüsseln/-Zertifikaten, einen weiteren Key brauchst Du also nicht. Bei Anfrage des Clients an den OpenVPN-Server liefert dieser üblicherweise sein Serverzertifikat aus, das der Client überprüfen kann (dieses hast Du auf dem Client als ca.crt ja schon abgelegt). Mit dem Server-Zertifikat verschlüsselt er dann einen einmaligen erzeugten Sitzungsschlüssel (damit erhält man FS) und schickt ihn an den OpenVPN-Server, der ihn mit seinem privaten Schlüssel dekodieren kann. Mit diesem Sitzungsschlüssel wird dann fortan der Datenverkehr verschlüsselt.