вот почитай, познавательно:
http://www.aspencrypt.com/task_certs.html,
а вот тут можно инструмент для работы скачать:
http://msdn.microsoft.com/en-us/library/aa529278.aspx

В продолжении темы - удалось получить информацию о собственных сертификатах, опубликованных в Active Directory. Непонятно, можно ли как-то опубликовать в AD сертификаты с открытым ключом других пользователей. То есть, в соответствии с PKI, чтобы Боб мог запросить удостоверяющий центр открытый ключ Элис, и получить его в составе сертификата. В рекомендованной в предыдущем ответе ссылке упоминается некий виртуальный сервер , через который можно получить сертификат другого пользователя, но без подробностей. Вопрос в том, есть ли в стандартном Windows Server и службах Active Directory такая возможность? В принципе, я бы и сам мог организовать хранение открытых ключей , например, в базе данных, но при этом теряется важное достоинство сертификата - открытый ключ подписывается корневым удостоверяющим центром и эту подпись можно проверить.

Ничего ломать я не собираюсь, я занимаюсь защитой информации , только к сожалению, это не совсем мой профиль. Поэтому , видимо, и вопросы формулирую неточно, за что прошу меня извинить. Задача простая - есть две сотни пользователей, каждый из которых порождает документы, которые  сохраняются в базе данных. Требуется предоставить пользователям возможность ставить ЭЦП на документ, и чтобы любой другой пользователь мог этот ЭЦП проверить. Требуется реализовать данный процесс через удостоверяющий центр. Перед началом работы пользователь через Web-интерфейс запрашивает УЦ о выдаче сертификата. При этом генерируется пара открытый/закрытый ключ и сохраняется в заданном именованном ключевом контейнере. А на сервере подтверждается или отвергается заявка на сертификат. В случае подтверждения сертификат подписывается ЭЦП корневого УЦ и публикуется в active directory. Теперь я могу обеспечить пользователю возможность подписать свой документ и проверить подпись. Для того, чтобы ДРУГОЙ пользователь смог проверить ЭЦП, нужно ему как-то передать сертификат с открытым ключом. Требование передачи именно сертификата с открытым ключом, а не просто открытого ключа диктуется возможностью подмены открытого ключа в процессе передачи. К сожалению, я пока не смог найти штатного способа тиражирования открытых ключей среди пользователей в Active Directory. Известный мне вариант заключается в экспорте сертификата на рабочей станции владельца ключа и импорте на рабочей станции того пользователя, который будет проверять ЭЦП. Но, учитывая кол-во пользователей, такой вариант выглядит не слишком привлекательным. Собственно, в этом и заключается вопрос - как сделать видимыми сертификаты с открытыми ключами всем пользователям AD ?

Григорий T, извини не видил твоего поста...
Я бы это сделал так: поставил Enterprise Root CA на домейн контроллере, IPSec трафик в домейне c авторизацией через сертификаты. Это отличается от того, что ты пытаешься сделать, но достигает той же цели.