Instalando um certificado de site interno em um controlador de domínio?

Parece que você usou o módulo "Autoridade de certificação" certsrv.msc, mas esse é o lugar errado para instalar certificados de sites. Este módulo é usado para criar uma CA interna - você pode usá-lo para iniciar uma "CA Bluesquare" que pode emitir certificados confiáveis ​​localmente para todos os seus sites ou aplicativos da web internos - no entanto, não é o local para importar o próprio site -certificado assinado.

O console real para gerenciar certificados confiáveis ​​no Windows é certmgr.mscpara configurações por usuário e certlm.mscpara configurações em nível de máquina. Se você quiser que sua CA personalizada (ou um certificado de site autoassinado) seja reconhecida pelo Windows, instale-a por meio de certmgr.msc ou certlm.msc em "Autoridades de certificação raiz confiáveis". (Clique com o botão direito do mouse e use "Todas as tarefas → Importar".)

Além disso, os certificados são validados por cada host individualmente, não pelo controlador de domínio. Mesmo se você usar certlm.msc, a instalação de um certificado de CA em seus DCs ainda afetará apenas os próprios DCs – a CA não é distribuída automaticamente aos hosts membros.

Você precisa usar a Diretiva de Grupo para distribuir certificados de CA personalizados para computadores de domínio (via "Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança → Políticas de Chave Pública → Autoridades de Certificação Raiz Confiáveis").

(No entanto, você ainda não deve implantar certificados de sites individuais. Se o site não puder usar uma CA pública, crie uma CA interna (na verdade, por meio de "Autoridade de certificação") - dessa forma, você só precisa de um GPO para implantar um certificado de CA e ele pode ser usado para emitir certificados para qualquer número de sites internos.)