Как создать публичный центр сертификации?

Добрый день!
Существует следующая инфраструктура:
- Первичный контролер домена windows server 2012 r2
- Контролер домена windows server 2012 r2 + Центр сертификации, опубликованный в домене
- Lync server переднего плана (IIS)
- Файрвол с белым ip-адресом
- Клиентские машины с пользователями домена
Необходимо подключить к Lync серверу мобильных клиентов, не входящих в домен (планшеты, смартфоны и пр.)
Для выполнения цели:
- Указываю в топологии пограничный сервер Lync и публикую топологию, экспортирую опубликованную топологию в файл
- Разворачиваю пограничный сервер Lync, не входящий в домен и подгружаю локально файл топологии. Сервер понимает кем он является в указанной топологии, проглатывает файл и этап проходит успешно.
- Дохожу до этапа указания центра сертификации...
и тут ступор. Центр сертификации с которым работает lync сервер переднего плана расположен в домене, соответственно получить сертификат не представляется возможным.
экспортировать сертификат в файл в центре сертификации и импортировать в разворачиваемый пограничный lync сервер не красивое решение, что делать потом с клиентами? даже если выдавать сертификат каждому вручную - при подключении клиента проверить сертификат не получится понятно по каким причинам.
Решение напрашивается в публикации вторичного центра сертификации и публикации его в интернете за файрволом.
Вопросы:
Как создать публичный центр сертификации на базе win server 2012 r2
1. Каким образом проходит выдача сертификата недоменным пользователям?
2. Вторичный центр сертификации обязательно должен находиться в домене (не корневой)
3. По каким портам нужно примапить на файрволе центр сертификации, 443?
4. Lync сервер переднего плана нужно натравить на публичный, чтобы все работали через него?
Заранее благодарен за ответы.