Haz que tu CA Root sea de confianza para todos tus clientes/usuarios
Al igual que muchos, tendrás un OWA o una VPN SSL o una web o TSGateway publicado por https con un certificado emitido por tu propia CA, y para que funcione correctamente en unos casos o para que no muestre un mensaje de error sobre el certificado a tus usuarios, te tienes que preocupar de añadir tu CA raíz a la lista de entidades raíces de confianza de cada maquina cliente.
Si todos los usuarios usan ordenadores bajo tu supervisión es fácil, puedes usar las GPO, el AD u otras alternativas para distribuir las raíces de confianza.
Pero en caso de que no sea así y no tengas control sobre los ordenadores de los usuarios Microsoft permite que añadas tu CA a la lista que mantiene Microsoft y que puede ser actualizada por Windows Update o desde el propio IE.
Tienes toda la información en el siguiente enlace, no te voy a engañar, no parece fácil, pero es una alternativa.
https://www.microsoft.com/technet/archive/security/news/rootcert.mspx?mfr=true