Разобрался, но нет ) Экспериментировал с выдачей сертов своим CA. Выяснил, что серты по шаблону “Компьютер” и “Вэб-сервер” KSC не устраивают, намекает на то, что ему нужно использование ключа “подписывание сертификатов”. Нашёл такой пункт в ключах, выпускаемых для “Подчинённых центров сертификации”. Выпустил такой ключ, получил максимально схожий по возможностям функционал, относительно тех ключей, которые KSC генерит себе сам. В итоге удалось установить на KSC данный ключ. Делаю вывод, что ВОЗМОЖНО в моей ситуации с ГОСТом так же не хватало этого типа использования “Подписывание сертификатов”. Но почему-то об этом не было отчёта. Отсюда 2 вопроса: 1) У каких ещё шаблонов бывает данная функция; 2) Какой серт нужно заказывать во внешнем УЦ, что бы он удовлетворил KSC по необходимому функционалу. У меня нет возможности выпускать самому ГОСТ серты, а УЦ вряд ли даст мне серт с “Подчинённым центром сертификации” :)