Claro les dirá que no han depositado su confianza en el certificado, pero para subsanarlo (ya te digo que son usuarios limitados los que van a tener que acceder a la zona), se les proporcionará un link de descarga con el certificado raiz y las instrucciones necesarias para instalarlo (así como asistencia técnica en caso necesario), estoy pensando tambien en utilizar proporcionarles un lector de tarjetas con un pequeño software que instale el certificado raiz en el almacen, estilo a como hace el colegio de abogados, no se si sabrás de lo que hablo, pero bueno, eso ya es otra historia (que trataré bastante más adelante)

Con respecto a lo de la FNMT he comprobado que tienes razón (he firmado una de las campañas de tu página) pero a mi cuando lo selecciono, me lo revoca, el que tengo instalado es el

FNMT Clase 2 CA (en la raiz tanto del usuario como del equipo)

y le he habilitado todas la opciones. Ya te digo que seguramente use mis propios certificados de 2048 bits, pero como puede ser que mi servidor me lo revoque y el tuyo lo acepte de p.m.???

Lo del openssl, es un software libre para generar tus propios certificados, con él, generas las llaves, los certificados y tal, está bastante currado.