1. CA.sh でルート証明書発行
2. ルート証明書を NetScreen-Remote にインポート
3. NetScreen-Remote で証明書要求を作成
4. 証明書要求を CA.sh -sign し、 NetScreen-Remote の証明書を作成
5. NetScreen-Remote の証明書をインポート

上記とおりでは 5 番目で失敗する。 NetScreen-Remote の証明書をテキストエディタで加工する必要がある。 BEGIN CERTIFICATE と END CERTIFICATE の外側の行を削除しないとインポートできないらしい。
その後、 NetScreen でも同じ現象が起こることがわかった。