При издании сертификатов на УЦ могут возникать различные ошибки (связанные, к примеру, с политиками выдачи).

Существуют способы заставить УЦ игнорировать их принудительно.

Если УЦ игнорирует поля subject и при выдаче сертификатов не помещает их в сертификат - можно попробовать заставить УЦ не генерировать поле subject, а издать то, что в нём указано без всяких проверок.

После требуемой операции - необходимо вернуть флаг в исходное состояние, т.к. это небезопасно.

Запускаем из cmd.exe (от администратора) команду, устанавливающую нужный флаг и перезапускаем сервис CA:

 certutil -setreg CA\CRLFlags +CRLF_REBUILD_MODIFIED_SUBJECT_ONLY
 net stop certsvc
 net start certsvc

В случае, если нужно проигнорировать ошибку “The certificate has invalid policy” - следует использовать установить следующий флаг и так же перезагрузить службу УЦ.

 certutil -setreg CA\CRLFlags +CRLF_IGNORE_INVALID_POLICIES
 net stop certsvc
 net start certsvc