ワイルドカード証明書の秘密キーのセキュリティを確保するにはどうすればよいですか？

ワイルドカード証明書を更新および更新するときがきました。私は、証明書のセキュリティを損なうことなく秘密キーを保護する方法を研究する任務を負っています。 （キーと証明書を一緒に使用すると、誰でも私たちになりすますことができます。）

ワイルドカード証明書を使用することの長所と短所を理解しています。これがITディレクターが決定した方向です。

私たちは99％のWindowsショップです。構成管理の設定はありません。ワイルドカード証明書を使用する各マシンに触れる必要があるでしょう。

いくつかの構成管理ツール（Puppetなど）に、クリアテキストのパスワードの代わりに保護された変数を渡すために使用できるモジュールがあることを知っています。秘密鍵を他のチームメンバーに配布せずに証明書をマシンにインストールする方法はありますか？

どんな考え/アイデア/ベストプラクティスも大歓迎です。