Depois de algumas pesquisas, achei isso:
O certificado da CA e o certificado do servidor não podem ter o mesmo nome comum, porque isso é uma vulnerabilidade para ataques do tipo "homem no meio". Certifique-se de que eles diferem. O CN para CA pode ser qualquer coisa e o CN para servidores-certs deve corresponder ao seu IP ou URL ou similar.