Putz! eu confundi o SHA com RSA e na hora de descrever aqui usei o SHA, três dias batendo a cabeça com isso e o raciocínio já não está legal..rs
de qualquer forma, na hora de gerar o client.pem, usei o sha512 em detrimento do sha256 e não obtive sucesso :
openssl x509 -req -in my_client.csr -CA RootCA.pem -CAkey RootCA.key -set_serial 01 -out my_client.pem -days 3650 -sha512