Szerintem a dh-t és a ca.crt-t kell átvinned, és csinálnod kellene még kliens key-t és cert-et, már ha ebbe az irányba indultál el. (szerk.: meg persze a kliens kulcsot a ca-val kellene aláírni.)
Ha egy "static secret key"-t használsz akkor ugyanaz kell mindkét oldalon.