O System Center Mobile Device Manager fará isso até onde eu sei, mas não tenho certeza de como o registrador de certificados é bom no WM5, a maioria dos recursos certificados são suportados apenas no WM6 (eu acho). Há um recurso de implantação de certificado limitado incorporado ao Activesync a partir da versão 5 que implantará automaticamente os certificados de usuário no dispositivo para o email, se você configurar as informações adequadamente no AD. Você pode usá-los dependendo de quanto controle você tem do seu aplicativo, mas eu suspeito que não.
Não tenho conhecimento de nenhum aplicativo comercial que faça exatamente o que você precisa, mas as APIs de criptografia estão corretas no WM5 e não é muito difícil modificar o código de amostra do registrador incluído no kit de desenvolvimento da plataforma Windows Mobile algo que se adapte às suas necessidades. Eu criei um sistema para fazer isso no passado que tinha muitos sinos e assobios (integração do AD usando contas de espaço reservado para dispositivos WM, configuração de dispositivo, implantação de certificado com autorização e, em seguida, bloqueando os sistemas de dispositivos WM para que eles executassem somente o código assinado ), dois de nós hackeamos a maior parte do código inicial em cerca de uma quinzena do IIRC.