Na azért az md5 kidobása nem 2 évvel ezelőtt történt, hanem már több, mint 5:
https://openvpn.net/security-advisory/planned-removal-of-md5-support/
Szóval aki 2 éve még ilyen certet generált, azt kéne seggberúgni, erről az OpenVPN nem tehet.
(SHA256 a hash, nem AES256)
Egyébként meg a certeknek az a jellemzőjük, hogy időnként lejárnak, szóval a cserére nem árt felkészülni amúgy is valami automatizmussal.