Existem algumas opções usando a política de grupo (que provavelmente seria a melhor opção e mais gerenciável).
Para um certificado de servidor que identifica o servidor ao qual você está se conectando, basta verificar se a autoridade de certificação (CA) que criou o certificado é confiável para a máquina em que o usuário está, para CAs públicas confiáveis. manipulados para você (verisign, geotrust, etc. são confiáveis para a microsoft e possuem as referências automaticamente), no entanto, se for uma autoridade de certificação interna usando a diretiva de grupo, edite o seguinte nó: Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas de chave pública > Autoridades de Certificação Raiz Confiáveis
Adicione a chave pública (não publique a chave privada) a esse nó e verifique se ela está definida para uma Política de Grupo que contenha os computadores nos quais você deseja confiar no servidor.
Se você deseja confiar em um certificado de usuário, há um pouco mais de envolvimento, pois você precisa ter o registro automático de certificados em sua autoridade de certificação interna. Veja este passo-a-passo sobre como criar uma política de registro automático para usuários que usam um modelo de AC: link
Você precisará confiar na CA que fornece os certificados de usuário no servidor citrix para garantir que o servidor aceite o certificado como uma identificação de usuário válida.
Espero que isso dê a você o que você precisa.