inzwischen bin ich auf StartCom® umgesattelt – anfangs mit Schlüssel von StartCom® (ja, ich weiß, macht man nicht), inzwischen mit eigenem Schlüssel. Und das geht so:
$ cd ~/.ssh
$ keyname="foo@example.com"
$ year=2016
# https://www.startssl.com/Certificates/
$ openssl req -new -newkey rsa:4096 -nodes -keyout "${keyname}.key" -out "${keyname}.${year}.csr"
# funnel through https://startssl.com/Certificates/ApplyClientCert
# download & unpack ${keyname}.zip
# http://apple.stackexchange.com/a/9011
$ openssl pkcs12 -export -clcerts -inkey "${keyname}.key" -in "${keyname}.${year}.crt" -out "${keyname}.${year}.p12" -name "John Doe"
$ open "${keyname}.${year}.p12"