Если после создания нового шаблона сертификата в Microsoft Certification Authority он не виден в списке доступных шаблонов, то может сильно помочь команда:
certutil -SetCAtemplates +<имя шаблона>
Запускать нужно из командной строки, запущенной с правами администратора.
Как известно, клиент Exchange ActiveSync на устройствах под управлением IOS можно настроить на использование клиентского сертификата для соединения с сервером. Причем на самом устройстве соответствующих настроек нет, и для этого приходится использовать iPhone Configuration Utility (если у вас под рукой только Windows). В созданный с помощью iPCU профиль конфигурации можно добавить сертификат и затем указать его в настройках Exchange ActiveSync.
Однако, процедура получения сертификата, импорта его в системное хранилище и затем выбора этого сертификата в iPCU может показаться утомительной (особенно последний пункт, поиск сертификата в списке установленных доставляет кучу удовольствия). Процесс можно автоматизировать, используя SCEP, благо IOS его поддерживает начиная с версии 4. Добавляем в профиль конфигурации настройки SCEP, и при правильной настройке сервера устройство получит сертификат сразу в процессе установки профиля. Стоит отметить, что сертификат должен иметь расширение «авторизация клиента», иначе авторизация на сервере не пройдет (если в качестве сервера SCEP используется Microsoft NDES, то шаблон сертификата, используемый по умолчанию, не подходит). Однако тут возникает вопрос: как указать клиенту ActiveSync, что он должен использовать сертификат, полученный в результате запроса SCEP? Это нельзя сделать с помощью iPCU. Придется редактировать профиль вручную.
Итак, создаем профиль конфигурации, в который добавляем настройки Exchange ActiveSync (без сертификата клиента) и настройки запроса SCEP. Экспортируем этот профиль, не шифруя и не подписывая его. Открываем полученный файл с расширением .mobileconfig (это обычный xml, вполне читабельный) в текстовом редакторе и добавляем в секцию настроек Exchange ActiveSync ключ PayloadCertificateUUID со значением типа string, в котором указываем PayloadUUID секции настроек SCEP. Теперь при установке профиля IOS будет знать, что клиент ActiveSync должен использовать сертификат, полученный в результате запроса SCEP.
Все, остается только установить полученный профиль конфигурации на устройство, и оно автоматом получит сертификат и будет использовать его для авторизации на сервере Exchange.