Dotaz: CA v OpenSSL pro IIS

Zdravím, Mám problém rozchodit pomocí OpenSSL certifikační autoritu, která by dokázala generovat klientské certifikáty pro klientský přístup k microsoftímu webovému serveru IIS. Co mi funguje: Vytvořím si pomocí OpenSSL certifikační autoritu - tedy podpis self-signed s parametry CA Vegeneruji si na IIS žádost o serverový certifikát a tu podepíšu pomocí OpenSSL Podepsaná certifikát vložím do IIS a tím se mi rozběhne korektní SSL přístup. Na všech strojích zaregistruji vytvořenou CA do úložište důvěryhodných kořenových CA Pak vystavím klientský certifikát s následující konfigurací:

===========================================
[ req ]
default_md = sha1
distinguished_name = req_distinguished_name
prompt = no

[ req_distinguished_name ]
0.DC=domena
1.DC=cz
0.CN=Users
1.CN=Jan Novak

[ client ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = clientAuth
nsCertType = client
subjectAltName=otherName:1.3.6.1.4.1.311.20.2.3;UTF8:novak@domena.cz
===========================================

Certifikát podepíšu klíčem CA a vygeneruji ho ve formátu *.p12 Ten natáhnu do IE nebo firefoxu do úložiště osobních certifikátů

Klientský přístup mi ovšem nefunguje...jako bych správný klientská´ý certifikát vůbec neměl. Pokud ovšem v předchozím postupu nahradím certifikační autoritu OpenSSL certifikačním úřadem od MS, tak mi to vše funguje.

Neřešil jste to už někdo někdy ?

Za účinnou pomoc s rozklíčováním tohoto problému mohu nabídnout i nějakou odměnu.

Předem díky.