VPN Signing CA erneuern

Für diese könnte man dann auch weiter den OpenVPN Client verwenden und denen dann von der XGS SFOS Firewall das Zertifikat zukommen lassen.

Migrieren wird man die nicht können. 

Können Sie erläutern, wie das geht? Ich kenne es nur so, dass man für den OpenVPN-Client eine .ovpn-Konfigurationsdatei braucht. Gibt es eine Anleitung, wie man die mithilfe des Zertifikats baut?

Sophos Connect braucht eine .pro File - Damit kann der Client das eigenständig herunterladen.

OpenVPN benötigt eine ovpn Datei, die ein User im VPN Portal herunterladen kann. 

Im Benutzerportal der XGS gibt es bei mir unter "Client herunterladen" nur die Punkte:

Authentifizierungsclients
- Download für Windows
- Download für macOS
- Download für Linux 32
- Download für Linux 64
- Zertifikat für iOS 12 und früher und Android herunterladen
- Clientzertifikat in iOS 13 und später installieren
Ehe Sie auf den Link klicken, fügen Sie das Zertifikat, das Ihnen Ihr Administrator gesendet hat, zu den vertrauenswürdigen Zertifikaten Ihres iOS-Profils hinzu.

SPX Add-in
- Sophos Outlook Add-in herunterladen

Seit V20.0 GA gibt es ein VPN Portal. 
Das ist nur für VPN. 

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/VPNAndUserPortalHelp/VPN/index.html 

Danke, das habe ich übersehen. Ich werde es dann mal ausprobieren.
Wissen Sie, ob man die .ovpn-Konfigurationsdatei auch als Admin herunterladen kann? Meine letzte Info war, dass es nicht geht. Bei der Vorbereitung neuer Endgeräte wäre es schön, das zu können.

Nein, das geht (aktuell) nicht.
Wäre auch nicht sehr hilfreich, da die VPN-Konfiguration jetzt nicht mehr Zentral für alle auf dem PC liegt, sondern benutzerbezogen importiert wird.