Добрый день всем!

В процессе установки корневой standalone CA в тестовой среде (точнее прямо на контроллере домена Win2008R2 SP1) появилось два больших вопроса.
Сначала по поводу самой установки: чтобы исключить возможные ошибки следую точно справке для CA из состава Windows, цитирую по шагам (нумерация отражает последовательность страниц в справке):
1) Install a Root Certification Authority
a) Open Server Manager, click Add Roles, click Next, and click Active Directory Certificate Services. Click Next two times.
On the Select Role Services page, click Certification Authority. Click Next. On the Specify Setup Type page, click Standalone or Enterprise. (Здесь я выбираю STANDALONE) Click Next
...Результат пункта 1: у меня есть установленная Root Standalone CA, но БЕЗ Web Enrolment - т.е. запрашивать сертификаты через https://pcname/certsrv я ещё не могу. Следовательно, переходим к п.3 (в справке пункт 2 называется Certification Authority Naming - в нашем случае можно пропустить).
3) Setting Up Certificate Enrollment Web Services
а) Installation requirements
Before installing the certificate enrollment Web services, ensure that your environment meets these requirements:
A host computer as a domain member running Windows Server 2008 R2.
...
A Server Authentication certificate installed for HTTPS.
During installation of certificate enrollment Web services, the following server roles and features will be installed if they are not already installed:
Web Server (IIS) ...

- отсюда первый вопрос по документации: ПЕРЕД УСТАНОВКОЙ Certificate Enrollment Web Services на компьютере УЖЕ ДОЛЖЕН БЫТЬ УСТАНОВЛЕН "Server Authentication certificate " - ГДЕ ЕГО В ЭТОТ МОМЕНТ МОЖНО ВЗЯТЬ ???
Предполагаю следующее:
I) нужно сначала установить IIS, создать в нём самоподписанный сертификат, привязать его к https и потом НАЧИНАТЬ устанавливать Certificate Enrollment Web Services (в этом случае уже нарушается предписанный порядок установки, т.к. в справке (п.3) сказано, что IIS может быть установлен в процессе установки Certificate Enrollment Web Services, если он ещё не был установлен).
Проделываю вышеописанные действия, - результат: Default Web Site доступен и по http, и по https.
4) Далее устанавливаю службу Certificate Enrollment Web Services как описано здесь:
Set Up Certification Authority Web Enrollment Support
To install Web enrollment support Click Start, point to Administrative Tools, and then click Server Manager. Click Manage Roles. Under Active Directory Certificate Services, click Add role services. If a different AD CS role service has already been installed on this computer, select the Active Directory Certificate Services check box in the Role Summary pane, and then click Add role services. On the Select Role Services page, select the Certification Authority Web Enrollment check box. ...
Результат I: Web страница службы сертификации доступна и по http, и по https.
Второй вопрос: в обоих случаях при выборе на странице http://pcname/certsrv/certrqxt.asp или https://pcname/certsrv/certrqxt.asp опции advanced certificate request открывается страница, на которой доступно только окно для вставки сохранённого запроса (Base-64-encoded certificate request (CMC or PKCS #10 or PKCS #7), а не стандартная страница с полным набором форм для создания нового сертификата! Куда пропала стандартная форма advance request-a???
II) ...либо привязать к https единственный существующей после установки CA корневой сертификат.
4) Далее устанавливаю службу Certificate Enrollment Web Services как описано здесь: ...
Результат II: при доступе к http://pcname/certsrv/certrqxt.asp страница расширенного запроса открывается полная (со всеми полями), при https://pcname/certsrv - страница не доступна, ошибок в логах не нашёл.
??????????