CityCat4

Какие тут требуются пояснения? Имя пользователя или пароль неверные, либо имя входит в список запрета (deny_users)

Насчет easyrsa ничего не скажу, но сертификат УЦ должен иметь специальный признак того, что это сертификат УЦ. Желание создать УЦ, потом выпустить суб-УЦ и уже от его имени выдавать сертификаты в винде в принципе имеет место быть. Когда в сети есть винда и не-винда, есть например микротики, d-link-и еще какие-то устройства... Пользователям опять же проще генерить сертификаты на openssl. Но это если понимать что делать - там не нужна будет никакая easyrsa.
Если же нужна просто служба сертификатов для винды - то не занимайтесь вытягиванием себя из болота за волосы - запускайте службу и пусть она сама сгенерит корневой сертификат УЦ. Правда, сразу нужно учесть, что без дополнительного шаблона PKCS#12 для пользователя никак не свернуть - можно получить только сертификат заполненный данными на основе AD и только на одном компе.
Для выпуска же сертификата УЦ средствами openssl в openssl.cnf должна быть секция

[ v3_ca ]
basicConstraints = CA:true

и при выпуске сертификата с указанием этой секции в качестве расширения он становится сертификатом УЦ.

Самба не заменяет права FS, а только предоставляет к ней доступ в виндовом понимании. Права FS никуда не деваются и у локального пользователя по FTP не должно быть никаких пересечений с самбой. Логи нужно включать подробные в vsftpd. Что до папки по умолчанию, то если подключение идет через PAM и доменные учетки проверяются winbind, папка по умолчанию должна задаваться в smb.conf