Servicios de certificados de Microsoft es una CA. Hace su trabajo razonablemente bien (*) siempre que cumpla con "la manera de Microsoft", lo que significa Active Directory en todo, con dominios, bosques y federación. Esto generalmente implica varios servidores dedicados.
En cuanto a las soluciones de código abierto, escuché cosas buenas sobre EJBCA . Algunas personas intentan hacer PKI "a mano" con OpenSSL (la herramienta de línea de comandos), pero esto significa que básicamente escribirá su PKI propio (95% de PKI es procedimientos , no software) y esto requiere una comprensión profunda de los arcanes de X.509 . Este no es un buen plan para los incautos.
(*) Excepto que no se escala bien en absoluto; la CA se vuelve lenta después de 50k certificados emitidos, inutilizables a 300k.