Добрый день.
Такая схема прекрасно реализуется стандартными средствами Windows.
1. С помощью оснастки Сертификаты консоли управления mmc на компьютере вне домена создаётся запрос на сертификат: в пустом месте правой кнопкой мыши, далее Все задачи - Дополнительные операции - Создать настраиваемый запрос.
2. Запустится мастер регистрации сертификатов. На 3 странице убедиться, что выбран шаблон Ключ CNG(без шаблона).
3. На следующем шаге раскрыть Подробности и нажать Свойства.
4. На последней вкладке Закрытый ключ выбрать только RSA,Microsoft Smart Caerd Key Storage Provider; ниже в параметрах указать длину ключа.
5. На предыдущей вкладке Расширения включить симметричные алгоритмы в соответствующем блоке.
6. Необходимость указания остальных параметров зависит от настроек шаблонов сертификатов в домене.
7. На следующем шаге система запросит пин-код и место, где сохранить запрос.
8. Зайти на сайт Службы сертификации Active Directory тем пользователем, для которого требуется выдать сертификат. Запрос сертификата - Расширенный запрос сертификата.
9. Вставить текст запроса и выбрать необходимый шаблон сертификата, нажать Выдать и сохранить полученный сертификат.
10. Перенести полученный файл на исходный компьютер. Двойным кликом открыть и установить сертификат, должен запроситься пин-код.
11. Проверить работоспособность полученного сертификата.
Это если кратко.
Однако, есть много индивидуальных моментов на связке запрос-шаблон: что указать в запросе, что задаётся в шаблоне автоматически и что хочется получить в итоге. Например, стандартный шаблон "Smartcard User" берёт из AD поле e-mail и полностью игнорирует заданное в запросе. Выбор криптопровайдера также меняет поведение полученных сертификатов.
