FreeIPAはVMWare証明書署名要求（CSR）への署名を拒否します

VMWareの認証局（VMCA）v6.7をFreeIPA認証局の信頼できるサブCAにしようとしています。対話型ツール（certificate-manager）を使用するか、VMWareのcertoolと構成ファイル（certool.cfg）を使用して、VMCA内で証明書署名要求を生成できるはずです。

もちろん、インタラクティブツールには魅力があります。ツールは質問をします。いくつかの答えが必要です：

Press Enter key to skip optional parameters or use Previous value.

Enter proper value for 'Country' [Previous value : US] : 

Enter proper value for 'Name' [Previous value : vcenter.int.demarcohome.com] : 

Enter proper value for 'Organization' [Previous value : DeMarco Home] : 

Enter proper value for 'OrgUnit' [Previous value : none] : 

Enter proper value for 'State' [Previous value : North Carolina] : 

Enter proper value for 'Locality' [Previous value : Raleigh] : 

Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : 

Enter proper value for 'Email' [Previous value : [email protected]] : 

Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcenter.int.demarcohome.com

Enter proper value for VMCA 'Name' : vcenter

FreeIPA内で、このCSRに署名しようとすると、要求は署名されず、エラー＃3009が発生します。

invalid 'csr': subject alt name type RFC822Name is forbidden for non-user principals

CSRをデコードすると（ https://www.sslshopper.com/csr-decoder.html ）、サブジェクト代替名（SAN）が含まれていることがわかります。

email:[email protected],
IP Address:10.71.73.8
vcenter.int.demarcohome.com

「名前は非ユーザープリンシパルには禁止されています」というエラーは私にはある程度意味がありますが、正しい方向に向けるには十分ではありません。質問への回答を変えることでCSRのフォーマットを変える必要がありますか、それともFreeIPA内で下位CAを誤って作成するプロセスを実行しますか？