Tienes una opción que puede que te interese, exporta desde el Explorer los certificados de cliente y marca "Exportar la clave privada", despues marca la casilla "Si es posible incluir todos los certificados en la ruta de acceso de certificación". Es el formato PKCS#12, tiene un PIN de protección. Tus usuarios solo tendrán que dar a aceptar a todo por defecto y se les instalará el raiz tambien.


Lo de la FNMT.. no te revoca nada, es imposible que nadie te revoque un certificado de la FNMT, escepto la FNMT claro, eso es por que yo tengo deshabilitada la comprobación de revocados en la metabase de win (ya te lo comenté), el filtrado de las firmas se hace despues de finalizada la campaña offline.