Estás en el camino correcto. Como mencionó GPO, parece que tiene un Active Directory de Microsoft. Por lo tanto, lo más fácil sería aprovechar Servicios de certificación de Active Directory de Microsoft (ADCS) .
Definitivamente desea una CA raíz fuera de línea si está soportando un entorno empresarial. Esto normalmente significa implementar una arquitectura de dos niveles. Lo que significa que todavía habrá una CA raíz fuera de línea, pero otro servidor se configurará como la CA emisora y permanecerá en línea. Aquí hay un excelente tutorial para configurar una arquitectura de dos niveles .
FWIW, ADCS es bastante fácil de configurar y desplegar. La parte difícil es comprender completamente todas las partes móviles para que pueda configurarse adecuadamente para su red. Dichos elementos incluyen la frecuencia con la que se actualizan las listas de revocaciones y la configuración del nivel adecuado de superposición, dónde se publicarán las listas de revocaciones y los certificados, ¿existen aplicaciones / clientes heredados que deban ser admitidos, etc. Afortunadamente, Microsoft ha estado haciendo una Gran trabajo creando documentación para ADCS. Hay una Guía de diseño aquí también como un documento de para asegurar una PKI de Microsoft aquí .
El uso de un GPO es el enfoque correcto para expulsar el certificado de su CA raíz a los sistemas unidos a dominios. Tenga un plan para sistemas que no sean de dominio unido, como plataformas alternativas (Apple, * nix). Esto se remonta a mi comentario anterior sobre la planificación donde se entregarán los certificados junto con las listas de revocación. AD es genial, pero también considera un servidor web más accesible.
Todo esto le permitirá emitir certificados SSL (¡y muchos más!) en los que confiarán los clientes internos o, más específicamente, cualquier persona que confíe en su CA raíz.