Можно через гпо серты грузить

Но все же, сама идея у вас усложненная какая-то

Я думал что давно эти все пользуются, только я деревня. А вот так называемый центр сертификации для этих целей не годится ?

Годится

Для так называемых сертификатов

Только вопрос в том, что вы хотите импортировать?

То есть я смог туда в реестр запихнуть все возможные сертификаты и через какой то механизм разрешать пользователям юзать те или иные ключи

Нет, конечно же.

Если вы хотите добавить открытую часть ключа в доверенные сертификаты или куда либо, то вам просто достаточно групповой политики, в которую нужно импортировать сертификат (его публичную часть). А если вы хотите, чтобы у пользователя был его собственный персональный сертификат с закрытым ключом, который имеет право подписи и т.д. то это делается через Enrollment Policy. Если же нужно, чтобы сертификат был всегда одним и неизменным для каждого пользователя, то тут уже нужно смотреть в сторону свистков с токенами.

Иначе, у вас будет не PKI, а его пародия.

Крипто про 5 умеет что вы хотите.

Это серверная часть какая то ?

Клиентское, он может сертификаты из папочек расшареных тянуть

а вот это не то что я хочу ?

Надо будет на каждого пользователя свою политику писать, если разные сертификаты?

Скорее на каждый сертификат

Ну, грубо говоря, есть 100 разных сертификатов, будет 100 разных политик) Звучит дико

ну мне кажется это проще , чем разбираться у какого пользователя какой сертификат и тд

+ возможно через zabbix проверять дату когда сертификат истекает