El IIS por defecto comprobara la lista de revocados, por lo que en los certificados tiene que haber un puntero a la url donde se edita (mira en propiedades), si quieres prueba con los de mi tutorial... la otra solución es desactivar esta comprobación en la Metadata de win en el server pero eso es mas complicadillo...
No se como gestiona los revocados el OpenSSL pero si eres tu el que generas las claves para pedir los certificados de cliente y despues se lo mandas, se rompe la cadena PKI ya que puede repudiar su firma alegando que es posible la suplantación. Tienes otra opción que es la CA de win en la que son los usuarios los que generan las claves, piden y se instalan los certificados. Ademas en esta CA puedes poner en red la lista de revocados para que no te de ese error, todos los certificados que emitas tendrán ese puntero.