Скорее сертификация пострадает от кваги. Это все таки Маршрутизирующее ПО, т.е. вы его используете в защищенной сети вместо маршрутизатора с сертификатом.. или как? Если вам нужен роутер с сертом, то и покупайте роутер с сертом. То что квага стоит на Астре не делает ее сертифицированной.
Шифроваться вам по ГОСТу надо думаю. соответственно выбор железок шифрующих по госту с сертификатом не так и велик. Возьмем например континент. Зато после этого континента для поднятия динамической маршрутизации ( я так понимаю поверх гре тунелей) вы вольны использовать что угодно. Хоть циско. Трафик же уже зашифрован. Таким образом я бы использовал две железки. Одну у которой все в порядке с документами и она шифрует, а вторую у которой все в порядке с сетью.