A Microsoft especifica que a máquina de CA raiz off-line não deve ser membro de um domínio , por isso não causará nenhum problema, e isso fará com que todo o problema dos problemas de vida útil da marca de exclusão do AD seja discutível. A saber:
Set up a server that runs Windows that you will use for the root certification authority. The server should not be a member of any domain, should be disconnected from the network, and should be physically secure.
Eu não tentei testes extensivos de interoperabilidade com o OpenSSL e o Windows CA, mas, em princípio, ele deve funcionar bem - é tudo uma PKI baseada em padrões. Certamente, assinei certs para servidores Windows usando o OpenSSL muitas, muitas vezes sem efeitos negativos. Contanto que você esteja confortável usando as ferramentas OpenSSL para emitir os certificados para suas CAs de segunda camada, isso não causará problemas específicos de gerenciamento.
Não vejo nenhum valor especial na implantação da CA raiz usando um conjunto de ferramentas e o (s) intermediário (s) em outra. Você certamente pode, mas eu não vejo como isso "compra" nada para você.