Recentemente, passei pelo processo de migração de uma CA raiz do Enterprise Online para uma PKI de dois níveis. Geralmente, o processo que você deseja seguir conterá estas etapas:
- Provisione um servidor que não será unido ao seu domínio e Instale os Serviços de Certificados do Active Directory. Configure-o como um certificado raiz offline autônomo.
- Publique sua autoridade de certificação raiz na floresta.
- Provisione um segundo servidor online e um domínio associado. Configure isso como sua autoridade de certificação intermediária.
- Crie um CSR a partir de sua CA intermediária e passe pelo processo de emissão de um certificado de sua autoridade de certificação raiz off-line.
- Migre os modelos de certificado para a nova CA intermediária e remova os modelos da sua PKI original. (Isso só começará a emitir novos certificados de sua CER intermediária que NÃO invalida os certificados emitidos de sua autoridade de certificação original.)
- A partir daqui, você pode decidir deixar sua autoridade de certificação antiga até que todas as certs expirem ou passem pelo processo de forçar seus sistemas de rede a se reinscreverem na nova PKI.
A equipe de serviços de diretório da Microsoft tem um bom passo a passo de alto nível para isso.
Para informações mais detalhadas, aqui está o passo a passo que eu segui.
Além disso, aqui está um Guia de Technet e alguns planning de informações sobre o processo .