Сертификаты SSL и групповая политика
Эта статья о TechRepublic говорит о SNI и включает список браузеров, которые в настоящее время имеют поддержку SNI. Смотрите на этот список и некоторые данные из, например, здесь и примите свое собственное решение. Это действительно зависит от того, кем Вы ожидаете, что Ваши клиенты будут.
Если все Ваши пользователи находятся в AD, и Вы имеете AD Certificate Authority (AD CA), установленный на Вашем DC затем, который можно просто выпустить от AD CA, нуждался в сертификате, присоедините этот сертификат в IIS к веб-сайту. В результате все пользователи домена будут автоматически доверять выпущенному сертификату (без руководства или установок GPO).
О Вашем втором вопросе: Я рекомендую Вам выпустить для Вашего тестового сервера другой сертификат от того же AD Приблизительно.