I Servizi certificati Microsoft sono una CA. Fa il suo lavoro ragionevolmente bene (*) a patto che tu rispetti "il modo Microsoft", che significa Active Directory ovunque, con domini, foreste e federazione. Questo di solito implica diversi server dedicati.
Per quanto riguarda le soluzioni open source, ho sentito cose positive su EJBCA . Alcune persone provano a fare PKI "a mano" con OpenSSL (lo strumento da riga di comando), ma questo significa che in pratica scriverai il tuo proprio PKI (il 95% di PKI è procedure , non software) e ciò richiede una conoscenza approfondita degli archi di X.509 . Questo non è un buon piano per gli incauti.
(*) Tranne che non si adatta affatto bene; la CA diventa lenta dopo i certificati emessi 50k, inutilizzabile a 300k.
Leggi altre domande sui tag public-key-infrastructure certificates certificate-authority