Николай Корабельников

Вам надо, чтобы клиентский софт(ОС, браузер,...):
- доверял корневому УЦ
- мог построить цепочку от вашего конечного сертификата до корневого УЦ.

Для последнего пункта надо, чтобы вы:
- предоставляли клиенсткому софту не только ваш сертификат, а еще и сертификат промежуточного УЦ. Так обычно делают с SSL сертификатами веб-сайтов - веб-сервера предоставляют цепочку, а не только сам сертфиикат сайта.
ИЛИ
- загрузили в доверенные не только корневой сертификат, но и сертификат промежуточного УЦ.

openssl pkcs12 -in filename.pfx -out filename.pem -nodes
Внутри будет и сертификат и закрытый ключ в формате pem.
Отдельно сертификат можно извлечь добавив -nokeys к команде.

Посмотрите OpenTrust PKI. Кстати, поддерживает работу с сертификатами ГОСТ (в т.ч. 2012).

По сути написанного вами вижу небольшое непонимание. Подписывает сертификаты не администратор, а Удостоверяющий Центр. Работа с сертификатами (создание, приостановка, отзыв и вообще управление жизненным циклом сертификатов) - это как раз то, что позволяет делать любой PKI.