Отвечу сам себе.
Насколько я понял, чтобы сгенерить клиентский сертификат x509, надо подписать клиентский ключ СА-шным закрытым ключом.
Т.к. центр авторизации мне даёт только доменный сертификат и открытый СА-сертификат, а свой закрытый ключ не отдаст, то и создать клиентский сертификат на основании валидного доменного сертификата может только центр.
Мне остается довольствоваться схемой самоподписанных объектов.
Поправьте, если я не прав.
