¿Cómo despliego una autoridad de certificación interna?

IE7 advierte agresivamente sobre la falla del certificado; Tenemos algunos sitios internos que se ejecutan a través de HTTPS y, por lo tanto, necesitan un certificado válido. Parece que tenemos una autoridad de certificación en la intranet que puede firmar certificados SSL, pero tenemos un problema: ¿cómo configuramos en masa los escritorios para confiar en la CA interna?

¿Es posible implementar el certificado interno de CA localmente, a través de GPO?

El certificado se puede distribuir por política de grupo.

De: http://unixwiz.net/techtips/deploy-webcert-gp.html

En el Editor de objetos de directiva de grupo, navegue hacia abajo hasta: Configuración del equipo

• Configuraciones de Windows
• Configuraciones de seguridad
• Políticas de clave pública
• Autoridades confiables de certificación raíz
• Luego haga clic derecho y seleccione Importar.

En Debian está el paquete pyca para ejecutar una CA, sin embargo, para todo lo que necesita, básicamente necesita saber cómo funciona el soporte de CA subyacente de OpenSSL.

Siempre existe la herramienta AD CA, sin embargo, he descubierto que solo es buena para usos limitados, ¿tal vez tener una CA principal que use las herramientas basadas en OpenSSL más capaces y luego crear una CA interina para las cosas de Windows?