Auch in eine gewachsene Struktur rein gekommen und noch nie eine Zertifzierungsstelle installiert? Vielleicht kann ich mit dem ein oder anderen Tipp dienen. 
Microsoft Server 2022: Installation einer Zertifizerungsstelle
Die Installation ist wie immer kinderleicht und kann über die GUI (Server-Manager) vorgenommen werden.
Rollen und Features hinzufügen:
Haken "Active Directory-Zertifikatsdienste" an.
Rein theoretisch reicht es nur "Zertifizierungsstelle" auszuwählen, da ich noch via Web ein Zertifikat anfordern möchte, wähle ich noch "Zertifizierungsstellen-Webregistrieren". Aus einer alten Anleitung hatte ich noch "Online-Responder" dabei. Fragt mich aber nicht mehr warum.
Das Bild kennt Ihr sicherlich aus all meinen anderen Tutorials bzw. aus eigener Erfahrung.
Nach der Installation, müsst Ihr das Ganze auch noch "konfigurieren", daher erscheint oben im Servermanager das gelbe Ausrufezeichen.
Ab hier ist es eigentlich auch nur weiter weiter fertigstellen...
Hier wähle ich zunächst die Zertifizierungsstelle aus (wiederhole aber die Schritte für Webregistrierung nochmals am Ende)
Da mein Lab als "Test-Unternehmensumgebung" dient, wähle ich auch Unternehmenszertifizierungsstelle.
Da ich noch keine andere Zertifizierungsstelle habe, wird das hier meine Stammzertifizierungsstelle.
Da ich hier auch nichts migriere, so muss ich einen neuen privaten Schlüssel erstellen.
Das hier könnte man zwar später noch ändern, aber ich belasse alles, wie es ist.
Auch hier ändere ich nichts und belasse alles wie es ist. Natürlich könntet Ihr den Namen auch ändern. In meinem Lab ist es mir jedoch egal.
Hier stand default 5 Jahre, da ich kein Plan hab, wie lange ich meine Labumgebung benötige, stelle ich das alles einfach auf 10 Jahre.
Und auch hier einfach auf weiter, außer Ihr wollt die Pfade ändern.
Ein letzter Kontrollblick.
Und tada... Ihr habt erfolgreich eine Zertifizierungsstelle installiert. War jetzt nicht wirklich schwer oder? 
Schauen wir doch einfach, ob die installierten Sachen auch funktionieren und wählen zunächst "Zertifizierungsstelle" z.B. im Servermanager unter Tools aus:
Jep... sieht gut aus, solange ein grüner Haken vorhanden ist.
Auch im Web scheint alles zu funktionieren. 
Microsoft Server 2022: Zertifikatsvorlagen
Für Zertifikate gibt es entsprechende Zertifikatsvorlagen hier gehen wir unten auf Zertifikatsvorlagen --> rechter Mausklick --> Verwalten
Gehen wir einmal davon aus, dass wir eine Vorlage definieren wollen für Webzertifikate, dann sollte man eines IMMER tun, kein Original verändern! sondern immer ein Duplikat erstellen! 
Im simpelsten Fall möchte ich also Web-Zertifikate erstellen, die länger als 2 Jahr gelten (wie es in der Originalvorlage eingestellt ist).
Machen wir noch andere Kleinigkeiten, wie "Exportieren von privatem Schlüssel zulassen", das könnten wir u.A. gebrauchen, wenn wir z.B. Zertifikate für einen ESXi-Server erstellen wollen.
Auf den Reiter "Sicherheit" werde ich gleich noch eingehen.
Microsoft Server 2022: Zertifikatsvorlage veröffentlichen
Nun habt Ihr zwar eine Vorlage erstellt, aber noch kann Sie niemand nutzen, denn die Vorlage muss zuerst veröffentlicht werden!
Hierzu einfach mit einem rechten Mausklick auf Zertifikatsvorlagen --> Neu --> Auszustellende Zertifikatsvorlage
und anschließend die Vorlage aussuchen.
Nun wird unsere Vorlage angezeigt.
Microsoft Server 2022: Zertifikats-Berechtigungen
Gehen wir einmal davon aus, dass wir jemanden oder eine Maschine berechtigen wollen ein Zertifikat für sich auszusstellen, dann benötigt der Benutzer oder Maschine das recht ein Zertifikat zu registrieren!
Schauen wir einmal das nachfolgende Bild an:
Normalerweise würde man nur z.B. "Basis-EFS bzw. Benutzer" zur Verfügung haben (bei Benutzerzertifikaten), klicken wir unten die Checkbox an "Alle Vorlagen anzeigen", dann können wir zwar alle Vorlagen sehen, aber man kann gut erkennen, warum uns diese nicht angezeigt werden, denn uns fehlen schlichtweg die Rechte!
Wir können dies jedoch ganz einfach lösen indem wir in der entsprechend Vorlage und auf den Registerreiter "Sicherheit" bewegen und dort den Benutzer oder Maschine eintragen.
Im gezeigten Beispiel steht der srv-dienste01 drin. Das liegt daran, dass ich hier ein Serverzertifikat anfordern möchte, das muss dann natürlich der Server anstoßen und nicht ich. Wobei das auch nur die halbe Miete ist. Ich muss natürlich mit einem User auf dem anfragenden Server angemeldet sein, der in der lokalen Admingruppe drin ist! Denn ich weiße den Server an, sich ein Zertifikat zu registrieren, somit benötigt er natürlich auch das Recht in der Vorlage. Ich hoffe das war nicht zu verwirrend geschrieben. 
Microsoft Server 2022: Zertifikatsgültigkeit ändern
Na? Auch schon ein Zertifikat aus einer Zertifikatsvorlage erstellt, die mehr als 2 Jahre hat und das Zertifikat hat trotzdem die maximale Gültigkeit von 2 Jahren? Dann steht euer Zertifiizierungsstelle noch auf "Default".
Einsehen könnt Ihr die Werte mit:
certutil -getreg ca\ValidityPeriodUnits
certutil -getreg ca\ValidityPeriod
Möchte ich den Wert erhöhen dann diesen Command:
certutil -setreg ca\ValidityPeriodUnits „5“
Siehe da... ab jetzt könnte ich Zertifikate ausstellen, die mehr als 2 aber maximal 5 Jahre Gültigkeit haben.
Microsoft Server 2022: Zertifikat ausstellen (Webzertifikat)
So, jetzt wollen wir doch mal ein Zertifikat von der anderen Maschine erstellen. Hierzu z.B. eine MMC öffnen, wählen Zertifikat --> Computer
Rechter Mausklick auf "Eigene Zertifikate" --> Alle Aufgaben --> neues Zertifikat anfordern:
Und siehe da, wir sehen unsere erstellte Vorlage, jedoch müssen wir die Vorlage noch füllen mit Inhalten.
Die simpelsten Sachen wären:
Geben dem Kind noch einen Namen:
Gehen wir wieder davon aus, dass ich z.B. für einen ESXi Server ein Zertifikat ausstellen möchte, dann benötige ich natürlich noch den Haken bei "Privaten Eschlüssel exportierbar machen"
Das Ergebnis sollte dann nachfolgend sein:
Und wir finden im gleichen Pfad (Zertifikate - Lokaler Computer --> Eigene Zertifikate --> Zertifikate) unser erstelltes Zertifikat.
Microsoft Server 2022: Zertifikat exportieren
Bleiben wir bei unserem Gedankenspiel, dass wir für einen ESXi ein Zertifikat ausstellen wollen, dann müssen wir das fertige Zertfikat exportieren, was genauso kinderleicht ist, wie es zu erstellen.
Rechter Mausklick --> Alle Aufgaben --> Exportieren
Privaten Schlüssel nicht vergessen.
Jetzt am Besten noch ein Passwort hinterlegen
Und zuletzt wird noch gefragt, wo Ihr das Zertifikat ablegen wollt.
Das wars auch schon, ab jetzt könnt Ihr das Zertifikat für andere Zwecke weiter nutzen.
Microsoft Server 2022: Zertifikate genehmigen lassen
Natürlich könnt Ihr eure Zertifikate noch mehr unter Kontrolle halten, indem Ihr zum Einen wie oben mit dem Reiter Sicherheit arbeitet, aber zusätzlich auch noch "genehmigen" könnt.
D.h. Ihr könnt grundsätzlich das Recht geben, dass jemand Zertifikate ausstellt, aber Ihr habt es in der Hand, ob Ihr dieses Zertifikat zulassen möchtet.
Hierzu einfach in der Zertifikatsvorlage beim Registerreiter "Ausstellungsvoraussetzungen" den Haken setzen bei "Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle"
Möchte nun jemand ein Zertifikat registrieren, dann landet die Anfrage in der Zertifizierungsstelle unter "Ausstehende Anforderungen"
Nun könnt Ihr mit einem rechten Mausklick entscheiden, ob Ihr das Zertifikat "Ausstellen" oder "Verweigern" wollt.
Microsoft Server 2022: certsrv via HTTPS aktivieren
Im "Default" ist nur http erlaubt. Möchten wir nun die Seite via https erreichen, dann müssen wir https im IIS-Manager aktivieren. Als erstes hatte ich einfach das Rootzertifikat hinterlegt, somit wäre https zwar aktiviert, aber natürlich nicht richtig, denn es muss ja die URL mit dem Zertifikat überein stimmen, daher erhalten wir natürlich diese hässliche Ansicht:
Das wollen wir natürlich korrigieren. Wie oben schon beschrieben, haben wir ein Zertifikat erstellt, wie uneigennützig aber auch 
So... das wollen wir natürlich verwenden.
Wir begeben uns in den IIS-Manager (z.B. über Server-Manger --> Tools) bleiben auf "Server" (links oben) und wählen ca. in der Mitte "Serverzertifikate".
Wir klicken auf "Importieren"
und wählen unser Zertifikat aus, welches wir oben exportiert haben.
Navigiert euch zu "Default Web Site" und rechts auf "Bindings".
Sofern noch nicht vorhanden, rechts auf hinzufügen.
Typ https und wählt sonst nichts weiter aus, ausser unten unser importiertes Zertifikat aus.
Den IIS noch neu starten und siehe da....
Tada 
So... ich mach mal ab hier einen Cut... mir ist bewusst, dass es noch UNZÄHLIG viel mehr zu zeigen gibt, z.B. Sperrlisten usw. aber ich denke bis hier her habt Ihr schon einmal eine gute Basis.
Sollte doch noch mehr benötigt werden, dann lasst es mich wissen.
Viel Erfolg beim Nachbau. 
