hop j'ai retrouvé un semblant de piste :

http://www.isaserver.org/img/upl/vpnkitbeta2/autoenroll.htm

il faut un certificat sur chaque machine quoiqu'il arrive.

Ensuite il faut donner un certificat utilisateur pour ceux qui en ont besoin... point 3 dans le lien. Ceci s'explique par exemple pour 3 collègues qui utilisent la meme machine, mais un seul peut se connecter en vpn...ou wifi ...donc il faut bien avoir un certif par user, en plus de celui de la machine...

Il faut bien suivre en détail, car il y a des problèmes lorsqu'on loupe une étape, le certificat utilisateur n'est pas déployé...le souci c'est que je m'en souviens plus ... (mais c'est indiqué ...)