Bof. Le mieux en interne est d'avoir sa propre CA (et ça tombe bien, ce sont des services qui sont destinés à un intranet, pas à n'importe quel visiteur), qui est donc un certif auto-signé.
Après, vaut mieux avoir une belle CA dans un HSM hors-ligne, mais bon, tout le monde n'en a pas les moyens.

Après, c'est un bug qui vient peut-être du fait que j'ai mal fait quelque chose (mais c'est au moins buggué parce que ça ne me dit pas le problème), tout est prévu pour faire signer des requêtes de certificats.