Descobri a solução:
Existe uma pasta C:\Program Files\ShrewSoft\VPN Client\certificates onde você pode descartar qualquer certificado secundário que possa precisar e o cliente lerá a partir daí.
Eu tenho uma caixa linux já conectada com o racoon para a mesma VPN usando os mesmos certificados sem problemas.
No windows, ele diz "impossível verificar o certificado peer remoto" e acredito que seja porque eu tenho os certificados de servidor concatenados no arquivo .pem, raiz e intermediário.
Agora, por alguma razão, o shrewvpn parece não reconhecer o segundo certificado no arquivo e falha com isso.
Tags windows-7 vpn certificate shrew