Qual a melhor forma de lidar com o certificado de segurança de dispositivos em rede no domínio?

Ao conectar um dispositivo de rede gerenciado (impressora, roteador / switch, serviço de software baseado em PC) a um domínio, a maioria deles atualmente tem um portal de gerenciamento de https ou de acesso do usuário. Ao visualizar essas páginas da Web a partir de um navegador, ele se queixará de que o dispositivo não possui um certificado confiável - geralmente porque é auto-assinado (por si só).

Qual é o melhor protocolo para remover esse aviso para uma situação de pessoal interno acessado?

1. Peça aos usuários que adicionem o certificado permanentemente à loja local do navegador.
2. Substitua o certificado no dispositivo por um certificado autoassinado emitido pelo controlador de domínio - (que, presumivelmente, os computadores que os usuários do domínio aceitarão devido à cadeia de confiança?)
3. Adicione o certificado autoassinado do dispositivo ao armazenamento do controlador de domínio - (o que, presumivelmente, os usuários de domínio aceitarão?)