Como implanto uma autoridade de certificação interna?

O IE7 adverte agressivamente sobre falha de certificado; temos alguns sites internos que executam HTTPS e, portanto, precisam de um certificado válido. Parece que temos uma autoridade de certificação na intranet que pode assinar certificados SSL, mas temos um problema: como configuramos em massa os desktops para confiar na CA interna?

É possível implantar o certificado interno da CA localmente, via GPO?

O certificado pode ser distribuído por diretiva de grupo.

De: http://unixwiz.net/techtips/deploy-webcert-gp.html

No Editor de Objeto de Diretiva de Grupo, navegue até: Configuração do Computador

• Configurações do Windows
• Configurações de segurança
• Políticas de Chave Pública
• Autoridades de certificação raiz confiáveis
• Em seguida, clique com o botão direito do mouse e selecione Importar.

No Debian, há o pacote pyca para executar uma CA, no entanto, para tudo o que faz, você basicamente precisa saber como o suporte à CA subjacente do OpenSSL funciona.

Sempre há a ferramenta AD CA, no entanto, descobri que ela é boa apenas para usos limitados, talvez tenha uma CA principal usando as ferramentas baseadas em OpenSSL mais capazes e crie uma CA provisória para as coisas do Windows?