Возможная причина:
привилегированный пользователь не имеет прав на изготовление сертификата, содержащего области использования, указанные в запросе (шаблоне) на сертификат.
Рекомендуемое решение:
На ЦР осуществите настройку Политики обработки неподписанных запросов и добавьте необходимые области использования сертификата для роли привилегированного пользователя.