O cenário de CA autônomo estava causando o problema. O processo de renovação e solicitação de certificado embutido na GUI de certificado do MMC requer um servidor web de política (que não pode ser executado em uma autoridade de certificação autônoma, pois exige permissões de domínio para instalação).
Como resultado, você precisa remover manualmente, solicitar e aceitar os novos certificados. Encontrei uma postagem no blog que detalha instruções sobre como fazer isso manualmente usando o certutil.