Der „Zweck“ wird auch als „erweiterte Schlüsselverwendung“ bezeichnet.
Openssl x509v3 Extended Key Usage gibt einen Beispielcode zum Festlegen der Zwecke.
Wie von Joe hervorgehoben, die Dokumentation gibt an, dass die Zertifikate entweder überhaupt keine erweiterte Schlüsselverwendung haben dürfen oder dass das in der PEMKeyFile eine Server-Authentifizierung und das in der Cluster-Datei eine Client-Authentifizierung haben muss.