Ich würde gerne OPNsense 25.1 als CA nutzen und hab auf einer Debian 12 VM einen CSR erstellt und auf der OPNsense importiert (Sign a Certificate...).
Danach wollte ich das Zertifikat und den Key runterladen, leider klappt es nur mit dem Zertifikat. Beim Versuch den Key herunterzuladen passiert nix.
Sollte doch funktionieren wenn es in der GUI angeboten wird?
Das geht nur, wenn du Key und Cert auf der OPNsense erstellst. Wenn du auf einem anderen System einen CSR erstellst, dann ist der Key bereits dort. Die CA unterschreibt das Zertifikat und sieht den Key nie. Du kopierst das Zertifikat zurück auf das Debian-System und benutzt es mit dem vorhandenen Key.
Wenn du ein Zertifikat bei einer öffentlichen CA einkaufst, schickst du denen ja auch nur den CSR und nicht den Key. Kein Unterschied.