Sei sulla strada giusta. Dato che hai menzionato GPO, sembra che tu abbia una Microsoft Active Directory. Pertanto, il modo più semplice sarebbe sfruttare il Microsoft Active Directory Certificate Services (ADCS) .
Sicuramente vuoi una CA root offline se stai supportando un ambiente aziendale. Questo in genere significa implementare un'architettura a due livelli. Significa che ci sarà ancora la CA root offline, ma un altro server verrà configurato come CA di emissione e rimarrà online. Esiste un ottimo tutorial per configurare un'architettura a due livelli qui .
FWIW, ADCS è abbastanza facile da configurare e distribuire. La parte difficile è comprendere appieno tutte le parti mobili in modo che possa essere configurato correttamente per la tua rete. Tali elementi includono la frequenza con cui gli elenchi di revoche vengono aggiornati e impostando il livello appropriato di sovrapposizione, dove verranno pubblicati gli elenchi di revoca ei certificati, ci sono eventuali applicazioni / client legacy che devono essere supportati, ecc. Fortunatamente Microsoft ha fatto un ottimo lavoro per la creazione di documentazione per ADCS. Esiste anche Guida alla progettazione qui come documento per la protezione di una PKI Microsoft qui .
L'utilizzo di un oggetto Criteri di gruppo è l'approccio giusto per estendere il certificato dalla CA principale ai sistemi di dominio aggiunti. Avere un piano per i sistemi uniti non di dominio come piattaforme alternative (Apple, * nix). Questo torna al mio precedente commento sulla pianificazione della pubblicazione dei certificati insieme agli elenchi di revoche. AD è ottimo, ma considera anche un server Web più accessibile.
Tutto ciò ti consentirà di emettere certificati SSL (e molti altri!) che saranno considerati affidabili dai client interni o più specificamente da chiunque si fidi della tua CA principale.