EE用の証明書について、DNを再考しました。
2番目のOはRAA名を入れるので、RAAの文字は入れずに団体名を入れればいいと思います。OUには、認証用はClient Auth、署名用はClient Signとします。以下にDNの例を示します。LDAPディレクトリも、以下のDNをベースに作り変えました。
認証用証明書の例
CN=TASHIRO Katsuya, Email=tashiro@cacanet.org, OU=Client Auth, O=CACAnet Members, O=CACAnet Fukuoka, C=JP
署名用証明書の例
CN=TASHIRO Katsuya, Email=tashiro@cacanet.org, OU=Client Sign, O=CACAnet Members, O=CACAnet Fukuoka, C=JP