Autenticación IIS de Windows: IE no elige el certificado correcto

Estoy intentando configurar un sitio web de intranet (solución de emisión de entradas osTicket). Quiero que mis usuarios se conecten automáticamente al sitio web, para que no tengan que completar sus credenciales. Para esto tengo:

• Creó un servidor IIS 10.0
• Configurar un registro DNS en el DNS de mi dominio
• Creé un certificado SSL para esa URL usando la autoridad certificadora de mi dominio.
• Vincular el certificado a IIS
• Agregue el sitio a la zona de intranet a través de un GPO (SSL y este GPO deben garantizar que al usuario no se le soliciten credenciales en IE)
• Configurar la autenticación en IIS: solo NTLM, sin autenticación anónima

Todo funciona como se esperaba en una computadora nueva. No hay advertencia de SSL en IE, el paso a través funciona para Chrome e IE.

Sin embargo, si la computadora tiene instalado Microsoft Skype for Enterprise (u Office, supongo), se crea un certificado de autenticación (puedo verlo en crtmgr.msc en Personal>Certificados). Si intento conectarme a mi sitio de intranet, este es el certificado que se utiliza automáticamente. Como mi dominio local es diferente al dominio de Office365, IIS no acepta el certificado y devuelve "403 Prohibido".

Si elimino este certificado, todo funcionará hasta que inicie Skype Empresarial nuevamente y se cree el certificado nuevamente.

En Chrome, me pregunta si quiero usar el certificado de Skype. Si acepto me sale el error 403. Si me niego, funciona.

Se me acabaron las ideas. ¿Cómo decirle a IE que no use el certificado de Skype? O cualquier otra idea sería bienvenida.

Gracias

Editar: al solicitar un certificado de mi CA en certmg.msc, ahora puedo elegir un certificado correcto en IE y Chrome. Sin embargo, sólo logro crear este certificado desde msc. Estoy buscando una manera de hacerlo a través de un script para luego aplicarlo con un GPO. Con certreq.exe mis parámetros de solicitud no son exactamente los mismos y no puedo usarlo en IE y Chrome