Autenticação IIS do Windows: IE não escolhe o certificado correto

Estou tentando configurar um site de intranet (solução de emissão de ingressos osTicket). Quero que meus usuários se conectem automaticamente ao site, para que não precisem preencher suas credenciais. Para isso eu tenho:

• Criado um servidor IIS 10.0
• Configure um registro DNS no DNS do meu domínio
• Criei um certificado SSL para esse URL usando a autoridade de certificação do meu domínio
• Vincule o certificado ao IIS
• Adicione o site à zona da intranet por meio de um GPO (SSL e este GPO devem garantir que o usuário não solicite credenciais no IE)
• Autenticação de configuração no IIS: somente NTLM, sem autenticação anônima

Tudo está funcionando conforme o esperado em um computador novo. Nenhum aviso de SSL no IE, passagem funcionando para Chrome e IE.

No entanto, se o computador tiver o Microsoft Skype for Enterprise instalado (ou o Office, eu acho), um certificado de autenticação será criado (posso vê-lo em crtmgr.msc em Pessoal> Certificados). Se eu tentar me conectar ao meu site da intranet, este certificado será usado automaticamente. Como meu domínio local é diferente do domínio Office365, o IIS não aceita o certificado e retorna “403 Forbidden”.

Se eu excluir este certificado, tudo funcionará até que eu inicie o Skype for Enterprise novamente e o certificado seja criado novamente.

No Chrome, pergunta se desejo usar o certificado do Skype. Se eu aceitar, recebo o erro 403. Se eu recusar, funciona.

Estou sem ideias. Como dizer ao IE para não usar o certificado do Skype? Ou quaisquer outras ideias seriam bem-vindas.

Obrigado

Editar: ao solicitar um certificado da minha CA no certmg.msc, agora posso escolher um certificado correto no IE e no Chrome. Porém, só consigo criar este certificado a partir do msc. Estou procurando uma maneira de fazer isso através de um script para depois poder aplicá-lo com um GPO. Com certreq.exe meus parâmetros de solicitação não são exatamente os mesmos e não posso usá-lo no IE e no Chrome