Вопрос снят, сам разобрался
Проблема сидела в том, что у detached sign с какого-то икса отсутствовала "обёртка" begin/end certificate, при добавлении "обёртки" всё прекрасно выковыривается через:
openssl pkcs7 -in sample.sig -inform PEM -print_certs

Если вдруг пригодится кому. Там только надо учитывать, что в общем случае в подписи может содержаться цепочка вплоть до рутовых и надо отгрызать только "хвост" в виде клиентского x509. Но это уже просто.