O fato de que essas VMs não fazem mágica realmente acontece; você ainda precisa interagir com o sistema operacional convidado da mesma maneira que faria com o mesmo sistema em hardware dedicado.
A melhor maneira, usando ferramentas gratuitas / incluídas, para gerenciar um domínio do Windows (desde que você mencionou o IE) é usar os GPOs. Você pode adicionar certificados via GPO.
Então, parece que você não me entendeu. Meu primeiro ponto é: o fato de essas máquinas serem VMs não tem muito a ver com o problema que você está tentando resolver. Meu segundo ponto é que um domínio do Windows já possui ferramentas que são embutidas que podem fazer muito gerenciamento para você, incluindo especificamente o exemplo mencionado (adicionar um certificado confiável .) Você também pode usar GPOs para instalar software em máquinas em um domínio, desde que os instaladores estejam no formato MSI.
Sim, você também pode usar Puppet ou Chef, que ainda têm edições gratuitas / de código aberto. Mas você deve primeiro investigar as ferramentas que já estão embutidas no sistema operacional antes de adicionar mais ferramentas. Você deve estudar sozinho e se tornar um administrador de sistema do Windows, ou contratar / contratar um. Este site é para administradores de sistemas, e se você está sendo apresentado ao Windows, seja bem-vindo a bordo!