Служба сертификатов поднимается только на DC (естественно - серверная ось). Если комп в домене - то на папке прописываешь, кому можно туда заходить через сеть. Идентификация идет через сервер, если поднята служба сертификатов - при помощи Кербероса.
Ну а если домена нет, то никаких сертификатов (хотя можно поднять SSH сервер - там хост с клиентом тоже сертификатами обмениваются
, но дотуп к командной строке, а не к папке... )