Автоматизация выпуска почтовых сертификатов - это правильная и естественная вещь. Но тут надо учесть следующее - прежде чем начинать массовое внедрение:
- у админа/ИБ-шника всегда должна быть копия почтовых сертификатов пользователя (у меня их аж три - и все хранятся в разных местах). Потому что почта хранится (то есть на сервере лежит в таком виде) в шифрованном виде и при утере ключа она превращается в тыкву. Абсолютно без шансов на восстановление
- выпуск почтовых сертификатов соответственно должен быть организован так, чтобы .p12 создавался админом вручную, чтобы была возможность переносить сертификаты с компа на комп, потому что выпуск сертификата на локальном компе помещает ключ сертификата (возможно, я не проверял!) в локальное хранилище сразу, без шансов его оттуда извлечь и любая перестановка винды превращает почту в тыкву.
- сертификаты выпускаются на год, их нужно своевременно перевыпускать. Если планируется использовать внешние программы чтения почты с сертфиикатами (типа MailDroid) - обязательно наличие доступного и действующего CRL, без него расшифровка в MailDroid например может и не пойти.
- возможно такой способ сделать это целиком на винде есть, но мне он неизвестен. Раньше я использовал виндовый CA и это реально была попаболь - создать CSR на линухе, вставить его в веб-интерфейс службы CA на винде, экспортировать сертификат в линух, собрать PKCS#12... С некоторых пор я все это делаю на линухе.
UPD: Пиши, еслиф че. Мыло в профиле. Почтовые сертификаты - тема огого какая.