Как лучше всего работать с сертификатом безопасности сетевого устройства в домене?

При подключении управляемого сетевого устройства (принтера, маршрутизатора / коммутатора, программного обеспечения на базе ПК) к домену в большинстве случаев в настоящее время у него есть веб-портал управления https или доступа пользователей. При просмотре этих веб-страниц из браузера он будет жаловаться на то, что устройство не имеет доверенного сертификата - обычно потому, что оно самоподписанное (само по себе).

Каков наилучший протокол для удаления этого предупреждения в ситуации доступа внутреннего персонала?

1. Сообщите пользователям, чтобы они постоянно добавляли сертификат в локальное хранилище браузера.
2. Замените сертификат на устройстве самоподписанным сертификатом, выданным контроллером домена (который, предположительно, компьютеры пользователей домена будут принимать из-за цепочки доверия?)
3. Добавьте самозаверяющий сертификат устройства в хранилище контроллера домена - (который, опять же, предположительно, компьютеры пользователей домена будут принимать?)