Com base em minha pesquisa, parece que é possível fazer isso adicionando a nova autoridade de certificação ao diretório ativo, executando um comando de proprietários de certificado de reinscrição em todos os modelos registrados automaticamente e atualizando manualmente os modelos da web, etc.
Como minha organização tinha uma CA em uma caixa com uma instalação do sharepoint, fomos em frente e aproveitamos essa oportunidade para dividir essas funções.
A resposta de Shane em Adicionando nova CA raiz / corporativa sem atrapalhar um existente? mostrou-se bastante valioso para este processo.