O usuário é um membro de um grupo de segurança que possui permissão de leitura e registro no modelo de certificado? Isso é necessário.
Como administrar modelos de certificado
link
Quando você instala certificados no armazenamento do computador e usa inscrição automática ou solicita manualmente o certificado usando o snap-in Certificados, a conta computador solicitante precisa das permissões Ler e registrar no modelo de certificado.
No entanto, quando você usa o Certreq.exe para solicitar certificados, mesmo que sejam certificados de computador e use MachineKeySet = True, o usuário solicitante precisa das permissões Ler e Registrar no modelo de certificado. Quando você usa Certreq.exe, as permissões do computador não são usadas.