Eu removi uma CA corporativa de um domínio do AD (Windows 2003) "herdado" e iniciado com uma nova autoridade de certificação corporativa sem efeitos negativos. Eu segui as instruções neste artigo link e, em seguida, começou com uma nova implantação.
No geral, senti que tudo correu muito bem.
(Meu cliente era parecido com o seu, provavelmente. Eles o instalaram, não o usaram para nada, e depois estavam à beira de destruir a máquina que estava executando a raiz da CA corporativa. Eu precisava de certificados para o WPA2-RADIUS autenticação e acabei andando direito em um ninho de ratos de lixo.)