Почитал. Понял, что есть два варианта:

1. Раскладывать готовый файл (базу сертификатов) cert8.db на клиентские машины.
2. С помощью утилиты certutil.exe из NSS-Tools устанавливать сертификат в базу.

Первый вариант плох тем, что у пользователей могут быть свои какие-то сертификаты. Если я бахну им централизованно свою БД сертификатов, то им будет облом с личными сертификатами. Ну, или в дальнейшем, если потребуется добавить/удалить какой-то сертификат, то опять будет проблема.

Второй вариант плох тем, что сначала всем клиентам надо поставить NSS-Tool.

Если других вариантов нет, то буду использовать вариант 1.