Я конечно openvpn не использую, но почему не использовать схему которая работает в других "аналогичных связках"
1) раздавать ip не средствами openvpn, а средствами DHCP сервера (насколько я помню это возможно).
2) DHCP сервер, розданные ip регит в локальном DNS
уникальность клиента определяется именем хоста. обращение по имени. один сертификат. все ваши "хотелки".