Генерация пары сертификатов ЭП на автономном удостоверяющем центре Windows Server.

Как узнать, что это Ваш случай?

Если в службах сертификации, например http://localhost/certsrv/ на сервере > Запрос сертификата > Расширенный запрос сертификата Вы видите это:

Поздравляю! Это Ваш случай. Если пробовали сгенерировать в нем сертификаты ЭП, то понимаете, о чем речь.

Огромное количество материала в интернете рекомендуют переустанавливать УЦ на Enterprise. Служба поддержки ДИРЕКТУМ здесь тоже не помощник, т.к. не профиль. Если Вам вариант переустановки, как и нам, неприемлем, я думаю, что сэкономлю Вам массу времени на поиск того, как же с помощью него получить заветные сертификаты.

Что потребуется?

1. RequestConfig.inf

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=Иванов Иван Иванович"
KeySpec = 1
KeyLength = 2048
HashAlgorithm = SHA256
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0xa0
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.2

2. CreateReqFile.bat

CertReq -New -f  D:\RequestConfig.inf D:\Request.req 

3. Submit.bat

certreq -submit D:\Request.req D:\Certificat.cer

4. Accept.bat

certreq.exe -accept Certificat.cer

Как это использовать?

1. Размещаем все файлы в одной директории. Во втором и третьем правим пути до текущей директории.

2. В inf файле правим строку Subject на требуемое ФИО.
Этого достаточно для персонализации сертификатов. Если погуглить, можно в этой строке добавить, например, подразделение, город, ...

3. Выполняем CreateReqFile.bat.
В текущей директории появится файл Request.req.

4. Выполняем Submit.bat.
Если появляется диалоговое окно, отвечаем ОК.
В текущей директории появится файл Certificat.cer (сертификат открытого ключа).

5. Выполняем Accept.bat.

6. Открываем утилиту Сертификаты.
     а. Переходим в Сертификаты (локальный компьютер) > Личное > Реестр > Сертификаты.
     б. Справа находим строку с указанным в inf файле ФИО. Открываем. Откроется окно "Сертификат".
     в. На закладке "Состав" нажимаем кнопку "Копировать в файл...". Откроется "Мастер экспорт сертификатов".
     г.  Далее. Выбор "Да, экспортировать закрытый ключ". Далее. Далее. Указываете пароль (любой, потребуется при установке сертификата на компьютере пользователя). Далее. Выбираете куда сохранить и имя файла. Далее. Готово.

Вуаля. У Вас оба сертификата для нового пользователя, и открытый, и закрытый. Дальше Вы уже знаете как их применить.