1.На компьютере, подключенном к домену, запустите Internet Explorer, а затем перейдите на веб-узел администрирования служб сертификации.

2.На странице приветствия щелкните ссылку Загрузка сертификата ЦС, цепочки сертификатов или CRL, а затем ссылку Загрузка сертификата ЦС.

3.Сохраните файл certnew.cer на компьютере, затем переименуйте его, присвоив ему описательное имя, например root.cer.

4.Используйте механизм передачи файлов, например электронную почту или FTP-узел, чтобы передать CER-файл соответствующим удаленным пользователям.

при установке служб сертификации кнопка Enterprise root CA (корневой цс предприятия) - не активна;

а если ставить изолированный корневой цс, то в консоли управления сертификатами нет шаблонов (templates)не могу понять, в чём засада?

This article describes how to install, configure an enterprise certificate service and how to create a certificate request to non domain members.

On the CA Type page, leave the default settings (Enterprise root CA), click Next

ведь мне не нужно поднимать ipsec-serverсоответственно, и сертификат нужно не создавать по ipsec-шаблону,

как это сделать и где находится корневой сертификат?

На компьютере, на котором установлены сертификаты корневого центра сертификации, войдите в систему от имени локального администратора, нажмите кнопку Пуск, введите в поле поиска команду MMC и нажмите клавишу ВВОД. Если появится приглашение ввести или подтвердить пароль администратора, сделайте это.

В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.

В диалоговом окне Добавление или удаление оснастки выберите элемент Сертификаты и нажмите кнопку Добавить.

В окне Оснастка диспетчера сертификатов выберите параметр учетной записи компьютера и нажмите кнопку Далее.

Убедитесь, что в диалоговом окне Выбор компьютера выбран вариант Локальный компьютер: (компьютер, на котором запущена эта консоль), и нажмите кнопку Готово.

В диалоговом окне Добавить изолированную оснастку нажмите кнопку ОК, чтобы закрыть диалоговое окно Добавление или удаление оснасток.

В консоли разверните оснастку Сертификаты (локальный компьютер), а затем разверните узел Доверенные корневые центры сертификации.

Дважды щелкните узел Сертификаты, чтобы раскрыть хранилище сертификатов. Найдите первый доверенный корневой сертификат, который требуется для развертывания операционной системы на клиентах.

Щелкните нужный сертификат правой кнопкой мыши, выберите пункт Все задачи, а затем пункт Экспорт для запуска Мастераэкспорта сертификатов.

В окне мастера экспорта сертификатов нажмите кнопку Далее.

На странице Формат экспортируемого файла убедитесь в том, что выбран вариант Файлы в DER-кодировке X.509 (.CER), и нажмите кнопку Далее.

На странице Имя экспортируемого файла укажите путь и имя файла экспортируемого сертификата и нажмите кнопку Далее.

На странице Завершение мастера экспорта сертификатов нажмите кнопку Готово.

Чтобы подтвердить, что экспорт завершен успешно, нажмите кнопку ОК в диалоговом окне Мастера экспорта сертификатов.

Дважды щелкните узел Сертификаты, чтобы раскрыть хранилище сертификатов. Найдите первый доверенный корневой сертификат, который требуется для развертывания операционной системы на клиентах.

загружаю на железку - она просит ещё какой-то private keyгде его взять?

In the Certificate Export Wizard, click Yes, export the private key. (This option will appear only if the private key is marked as exportable and you have access to the private key.)