Problema com verificação de certificado em uma rede fechada

Estou gerenciando um domínio do Active Directory com cerca de cem clientes do Windows 7 executando o IE9. A rede não tem acesso à Internet, mas tem a capacidade de acessar um aplicativo da Web de fornecedor. O aplicativo da web usa HTTPS e os certificados do fornecedor são da Entrust. Eu estou tentando descobrir como adicionar os certificados para o Active Directory para que todos os clientes recebam os certificados e parem de aviso ou bloqueio total de acesso ao aplicativo. Nada que eu tentei funcionou.

1. Aceitar os certificados por meio do escudo vermelho do navegador na barra de endereço não funcionou. De fato, se eu ver o certificado e olhar para o caminho, ele diz que é válido, mas ainda avisa sobre alguns clientes e bloqueios em outros.

2. Eu tentei importar os certificados para o navegador indo em Ferramentas-Opções-Conteúdo-Certificados, mas isso também não ajudou. Eu posso ver os certificados atuais instalados, mas o comportamento do navegador não mudou.

3. Por último, mas não menos importante, adicionei os certificados à política do grupo de domínios em Configuração do Computador - Políticas - Configurações do Windows - Configurações de Segurança - Políticas de Chave Pública - Autoridades de Certificação Raiz Confiáveis.

Estou perdendo a cabeça nesta questão. Eu sei que os certificados são bons porque eu os instalei nos navegadores para nossas estações de trabalho Linux sem nenhum problema. São apenas os hosts do Windows que não parecem aceitá-los. Eu estou querendo saber se o problema pode ter algo a ver com os PCs sendo incapazes de checar novamente os certificados pela Internet. Eu simplesmente gostaria que todos os PCs do domínio aceitassem os certificados fornecidos pelo domínio e deixassem assim. Não quero desabilitar completamente a verificação de certificados, mas estou chegando perto.

Além disso, configurar uma autoridade de certificação na ajuda da LAN ou apenas adicionar complexidade desnecessária?