Ja używam do generowania certyfikatów i zarządzania nimi programu XCA. Szczerze polecam. Mało waży a jakie możliwości :-)

I ewentualnie usunąć konto komputera w przystawce "Użytkownicy i komputery usługi Active Directory"

Wstaw te opcje w konfig zobacz czy bedzie działać. Moim zdaniem powinno byc ok.

Punkt 5 robisz tylko raz Punkt 6 też Punkt 8 robisz za każdym razem jak generujesz certyfikaty dla klientów (zmieniając za każdym razem CN). (./build-key client1, ./build-key client2 ,./build-key client3 - Tu nie jestem pewien czy tak zadziała bo nie znam skryptów do tworzenia, ale spróbuj) Jak wyge...

Tak jak mówiłem. Problem leży w certyfikatach. Oba wydały różne CA
Ten CA który wpisujesz w konfigu wydał jedynie certyfikat client1.
Zapewne certyfikat test1 oraz serwera wydało inne CA stąd błąd.

Musisz mieć taką strukturę.

Jeżeli generowałeś tak samo to wstaw tutaj te wygenerowane certyfikaty (ten dobry i zły) + certyfikat CA.
To się im przyglądnę. Same certyfikaty bez kluczy prywatnych !
Klucz prywatny oczywiście każdy klient ma swój.

Mon Apr 10 13:59:41 2017 83.22.109.239:60897 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: C=PL, ST=POL, L=Rabka, O=DK, OU=MyVPN, CN=test1, name=server, emailAddress=darkom9@gmail.com Mon Apr 10 13:59:41 2017 83.22.109.239:60897 TLS_ERROR: BIO read tls_read_plaintext error: e...

2. Opcję możesz dodać gdziekolwiek w konfigu serwera.
3. Czy to zły pomysł? Nie. Chciałem wiedzieć co w ogóle chcesz osiągnąć. Tyle
4. Dodaj w konfigu serwera opcję: i podaj log z takiego nieudanego połączenia.

Zgodzę się z Lordem. Jak dla mnie to problem cache przeglądarki. Nie raz się na to nadziałem. Wyczyść cache,historię i dopiero wtedy odświeżaj przez F5.