Essentially my question boils down to: does a computer joined to the domain automatically trust certificates issued by a CA on the same domain, or would they still need to be manually installed on each client device?
Os clientes não confiam nos certificados de uma CA interna automaticamente, não.
Dito isso, não é necessário distribuir o certificado manualmente, porque isso pode ser feito pelo GPO. O "guia" do Technet sobre este processo está aqui e Há muito mais que você pode fazer com GPOs e uma Autoridade de Certificação interna do que apenas isso. Por exemplo, usamos o nosso para distribuir certificados para permitir a conectividade sem fio de automagia com a empresa WPA2, fazer com que nossos clientes confiem em todos os serviços SSL em nossos ambientes (impressoras, gerenciamento fora de banda, até mesmo nosso software de backup) para que os usuários não obtenha avisos de certificados e muito mais.
De qualquer forma, no Console de Gerenciamento de Diretiva de Grupo, vá para:
Computer Configuration
- > Windows Settings
- > Security Setting
- > Public Key Policies
- > Trusted Publishers
e adicione seu certificado à loja "Autoridades de Certificação Raiz Confiáveis", e você é bom para ir com o que você quer fazer.