Нет понятия "IIS сертификат". Есть SSL-сертификат, который некто создает. Цепочка
всегда одна и та же - есть или создается CA, сертификат которого копируется на все машины в хранилище доверенных корневых сертификатов - Вам придется это делать вручную, если бы был домен, это делается политиками.
После этого создаются запросы на сертификаты и выпускаются сами сертификаты. Вам - только колхозить на OpenSSL для Windows, если бы был домен, можно было бы службу поднять. Это не исключило бы необходимость колхоза, но значительно бы снизило его сложность.
- должен ли этот сервер иметь свой собственный сертификат для подписи тех, что он выдает другим серверам?
Да, конечно. Вам - колхозить его руками, при наличии домена он генерится автоматом
- если его надо сначала будет скопировать на все клиентские машины,
Надо. Причем не просто так скопировать, а установить в хранилище доверенных корневых сертификатов
Или я могу использовать любой свой с Let's Encrypt и от него далее по цепочке генерить дочерние?
Нет. Ни один мировой CA не даст Вам сертификата subCA
- должен ли PKI сервис быть все время запущен, чтоб с других машин браузеры могли бы запрашивать его на валидность внутренних сертификатов?
Вообще такая штука есть, OCSP называется, но это не про Вас. Если Вам край как нужна валидность - вставляйте CDP и выкладывайте CRL
- будет ли выданный PKI сертификат выдан на имя сервера в интранет (например: SERVER001 или SERVER001.local)?
Как напишете, так и будет.
