CityCat4

Насчет easyrsa ничего не скажу, но сертификат УЦ должен иметь специальный признак того, что это сертификат УЦ. Желание создать УЦ, потом выпустить суб-УЦ и уже от его имени выдавать сертификаты в винде в принципе имеет место быть. Когда в сети есть винда и не-винда, есть например микротики, d-link-и еще какие-то устройства... Пользователям опять же проще генерить сертификаты на openssl. Но это если понимать что делать - там не нужна будет никакая easyrsa.
Если же нужна просто служба сертификатов для винды - то не занимайтесь вытягиванием себя из болота за волосы - запускайте службу и пусть она сама сгенерит корневой сертификат УЦ. Правда, сразу нужно учесть, что без дополнительного шаблона PKCS#12 для пользователя никак не свернуть - можно получить только сертификат заполненный данными на основе AD и только на одном компе.
Для выпуска же сертификата УЦ средствами openssl в openssl.cnf должна быть секция

[ v3_ca ]
basicConstraints = CA:true

и при выпуске сертификата с указанием этой секции в качестве расширения он становится сертификатом УЦ.