Сначала надо сгенерировать запрос на основе шаблона.
Открываем оснастку mmc и выбираем сертификаты локального компьютера > далее >Персональные > сертификаты>все задачи> Advanced operations>Create custom request. > Active directory enrollement policy> Выбираем шаблон.> Далее в настройках выбираем что ключ экспортируемый. и сохраняем запрос.
Открываем certsrv и добавляем наш запрос. потом подтверждаем его.
Выбираем его делаем экспорт в файл. с расширением cer.
Открываем файл и копируем его серийный номер. (пробелы убираем)
Делаем ассоциацию приватного ключа с файлом:
certreq -accept С:\Certificates\cert.cer
Добавляем сертификат в личные.
Затем экспортируем сертификат с закрытым ключом в файл pfx
certutil -p «пароль без кавычек» user -exportPFX «серийный номер без кавычек»c:\cert.pfx