если вам сертификаты нужны для внешних публикация то создавайте CSR и подписывайте у внешнего СА VeriSign, Thawte, Geotrust, Goddady, StartSSL
для внутренненго использования то подписывайте у своего СА
technet.microsoft.com/en-us/library/aa998327.aspx