Проблема решилась установкой версии OpenSSL версии 1.0.2 и выше. И добавления опции ssl_verify_depth 4; (с более старой версией OpenSSL не работало). Кроме того, в ssl_client_certificate необходимо указать сертификат ГОЛОВНОГО УЦ МКС (самоподписанного). Спасибо всем. Проблема с несколькими УЦ таким образом тоже скорее всего решена (еще отпишу). Так как сертификат второго УЦ тоже подписан тем же головным УЦ. Только есть еще ЭП, подписанные старым корневым (самоподписанным, но это скоро уйдет. Вопрос открыт только в том, как использовать два CRL.Спасибо Вам за участие.