FileVault復旧キーの配布をプロファイルマネージャーでやりたい

復旧キーの配布をServerのプロファイルマネージャーで行ないたいと思っています。

KeyChainAccessを利用してFileVaultMaster.keychainから証明書を書き出し、

プロファイルマネージャーの証明書ペイロードに登録、

プロファイルマネージャーのFileVault設定で「所属団体の復旧キーを使用」

証明書の選択で先ほど登録した証明書を選択すればよいかと思ったら選択肢に出てきません。

証明書の説明には「所属団体の復旧キーチェーンから取得した公開鍵を含むDERエンコード済み証明書」とありますが

どのようにしたらここで選択できるようなファイルが作れるのでしょうか。