Bem, acho que encontrei a resposta sozinha. Quando os usuários tentam criptografar um arquivo ou pasta, o computador procura um certificado para executar a criptografia. Se eles não tiverem um certificado válido para criptografar, o computador procurará uma autoridade de certificação que emitirá o certificado EFS básico. Se não houver CA, o computador criará seu próprio certificado EFS autoassinado.
Estou parafraseando a explicação da Microsoft, que pode ser encontrada aqui .