Wie SSL Zertifikat für interne Server offiziell signieren?

Hallo, ich habe einen Server (Windows 2008 / Windows AD) für unser neues Intranet bereitgestellt. Nun sollen sich die Mitarbeiter dort über https am System anmelden. Also habe ich für den dort laufenden Tomcat-Server ein SSL-Zertifikat selber generiert. Die Leute können sich nun am System anmelden und soweit funktioniert das ganze nun. Allerdings wird natürlich im Internet Explorer darauf verwiesen, dass das Zertifikat unsicher sei. Außerdem können Seiten des Intranets mit Office bearbeitet werden. Innerhalb von Office wird dann auch nochmal gemeckert, dass die Verbindung unsicher sei. Also, was ich wohl brauche ist ein Zertifikat, das offiziell signiert wurde, oder denke ich da falsch und es ist auch anderweitig in den Griff zu bekommen? Z.B. mit einer internen CA und der Möglichkeit per GPO z.B. meinem Netz zu sagen, das alle Zertifikate aus der internen CA ebenfalls vertrauenswürdig sind? Es handelt sich ja immerhin nur um interne Server innerhalb der Domain. Wenn ich nun bei z.B. Domain Factory ein SSL-Zertifikat erstellen will, kann ich das nur für offizielle TDs, aber nicht für z.B. intranet.meinefirma.local, da diese Authentifizierungsmail ja nicht an admin@meinefirma.local gesendet werden kann. Also frage ich mich, ob es überhaupt möglich ist, ein signiertes Zertifikat einer anerkannten Stelle für meinen internen Server zu erhalten, oder ob ich das ganze, wie gesagt, anders angehen muss / soll.
Grüße,
David